Специалисты Group-IB выпустили аналитический отчет «OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес», посвященный атакам русскоязычной хак-группы OldGremlin. На данный момент OldGremlin атакует исключительно российские цели, однако исследователи считают, что аппетиты группировки потенциально могут иметь более широкую географию.
Всего за два с половиной года хакеры провели 16 вредоносных кампаний с целью получения выкупа за расшифровку данных. К тому же вымогатели второй год подряд бьют рекорды: если в 2021 году группа требовала у жертвы 250 млн рублей за восстановление доступа к данным, то в 2022 году ценник поднялся до 1 миллиарда рублей.
Эксперты рассказывают, что, несмотря на молниеносный рост угрозы атак шифровальщиков на международном рынке, бизнес в России долгое время считал себя непривлекательной целью для этой угрозы. Однако в 2021 год опроверг это устоявшееся мнение: тогда количество кибератак вымогателей на российские компании увеличилось более чем на 200%. Одним из заметных и наиболее «жадных» вымогателей, атакующим на данный момент исключительно российские компании стала группа OldGremlin (она же TinyScouts).
Впервые активность OldGremlin была обнаружена в марте 2020 года и подробно описана в сентябре 2020 года. За прошедшие два с половиной года OldGremlin, по данным Group-IB, провели 16 кампаний по рассылке вредоносных писем по российским организациям.
Как видно на иллюстрации выше, самым насыщенным для «гремлинов» стал 2020 год — вымогатели отправили десять рассылок якобы от имени микрофинансовых организаций, металлургического холдинга, белорусского завода «МТЗ», а также медиахолдинга РБК.
В 2021 году была проведена всего одна, но крайне успешная кампания от имени «Ассоциации интернет-торговли», в 2022 году — уже пять — от лица сервисов «Консультант Плюс», «1С-Битрикс», платежной системы и так далее.
Аналитики пишут, что рассылки OldGremlin четко нацелены на определенные отрасли. Среди жертв группировки банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
По оценкам экспертов, средняя сумма требуемого выкупа OldGremlin составляет около 100 млн рублей, а максимальная сумма требуемого выкупа — это рекорд по России в 2022 году — достигла 1 миллиарда рублей.
Отмечается, что в отличии от других групп вымогателей, которые «охотятся» на крупные цели, после проведения успешной атаки участники OldGremlin могут позволить себе длительные отпуска.
Как и большинство «классических» вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа участники OldGremlin используют фишинговые письма. Актуальная повестка и тема этих рассылок (пандемия, удаленная работа, антироссийские санкции) в сочетании с качественно подготовленным текстом писем в виде запроса на интервью, коммерческого предложения или финансового документа, позволяла злоумышленникам без особого труда заставить получателей перейти по ссылкам и загрузить вредоносные файлы. Массовый характер рассылок позволял атакующим скомпрометировать рабочие станции сразу несколько сотрудников, что упрощало развитие атаки внутри сети жертвы.
Хотя в основном OldGremlin нацелены на корпоративные сети под управлением Windows, последние атаки показали, что в их арсенале есть и вымогатель, разработанный для Linux.
Кроме того, хакеры следят за последними трендами в области кибербезопасности и смешивают новые уязвимости и методы проведения атак с проверенными временем инструментами, например, Cobalt Strike и опенсорсными проектами (например, PowerSploit). В качестве способа повышения привилегий была выявлена эксплуатация уязвимостей в Cisco AnyConnect. Отчет гласит, что для своих атак группировка разработала целый Tiny-framework и активно развивала его от кампании к кампании.
Отмечается, что в среднем OldGremlin проводят в сети жертвы 49 дней перед тем, как развернуть вымогатель, что делает актуальными не только реактивные, но и проактивные методы обнаружения киберугроз, отсекающие возможность заражения шифровальщиком через канал электронной почты и так далее.
«По нашим данным, на счету OldGremlin почти два десятка атак с многомиллионными выкупами, причем в качестве жертв атакующие выбирают все более крупные корпорации, — замечает Иван Писарев, руководитель отдела динамического анализа Group-IB Threat Intelligence. — Несмотря на то, что пока география атакованных OldGremlin организаций ограничивается Россией, мы полагаем, что не стоит их недооценивать: многие русскоязычные преступные группировки, начав свою деятельность на постсоветском пространстве постепенно переключались на международные цели».