Антисанкционное предложение: группа OldGremlin снова атаковала российские компании

Блог компании Group-IB Информационная безопасность
Group-IB зафиксировала две новые атаки русскоязычной группы вымогателей OldGremlin на российские компании 22 и 25 марта. В первой рассылке от 22 марта вымогатели обыгрывают тему санкций и «полный уход» платежных систем Visa и Mastercard — письмо было написано от имени старшего бухгалтера российской финансовой организации. Для оформления новой банковской карты клиенту необходимо было изучить инструкцию и заполнить анкету. На самом деле письма содержали ссылки на вредоносный документ, расположенный в DropBox. Подозрительная рассылка была вовремя задетектирована собственной системой класса Managed XDR для защиты инфраструктуры от целевых атак Group-IB Threat Hunting Framework (THF) и одна из атакованных жертв — российская компания, специализирующаяся на добыче полезных ископаемых — была оперативно предупреждена об угрозе. Три дня спустя, 25 марта, “гремлины” провели новую рассылку. На эту атаку аналитики Threat Intelligence Group-IB вышли в ходе анализа сетевой инфраструктуры OldGremlin. В тот же день эксперты проанализировали полученное ВПО с помощью модуля Group-IB Managed XDR — Threat Hunting Framework Polygon и изучили команды для проведения разведки, которые использовали атакующие. Напомним, что впервые активность вымогателей из OldGremlin была выявлена аналитиками Group-IB Threat Intelligence весной 2020 года. Несмотря на то, что группа является русскоязычной она активно атаковала российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта, нарушая негласное правило русскоговорящих киберпреступников «Не работать по РУ». Всего за два года “гремлины”, по данным Group-IB, провели 13 кампаний по рассылке вредоносных писем. Самым “урожайным” оказался 2020 год — OldGremlin отправили 10 рассылок якобы от имени российского металлургического холдинга, белорусского завода «МТЗ», а также медиахолдинга РБК. В прошлом году OldGremlin провели всего одну массовую рассылку — в феврале — однако она оказалась настолько успешной, что кормила “гремлинов” весь год. Например, у одной из жертв вымогатели потребовали за расшифровку данных рекордную для России сумму — 250 млн рублей. Эксперты Group-IB предполагают, что новые рассылки могли заразить большое количество компаний, и в ближайшие месяцы злоумышленники без лишней спешки медленно и аккуратно будут продвигаться в их инфраструктуре, обходя “дефолтные” системы защиты. Для предотвращения кибератак с использованием программ-вымогателей Group-IB настоятельно рекомендует использовать решение Group-IB Threat Hunting Framework (THF) для защиты инфраструктуры от целевых атак и проактивной охоты за угрозами с использованием данных Threat Intelligence , а также внимательно изучить данные список тактик, техник и процедур OldGremlin, которые наши специалисты подготовили в свежем блоге .)
Теги:
Хабы: