- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
«Эффект гремлина»
Несмотря на молниеносный рост угрозы атак шифровальщиков на международном рынке, бизнес в России долгое время считал себя непривлекательной целью для этой угрозы. Однако в 2021 год опроверг это устоявшееся мнение: количество кибератак вымогателей на российские компании увеличилось более чем на 200%. Одним из заметных и наиболее «жадных» вымогателей, атакующим на данный момент исключительно российские компании стала группа, получившая название OldGremlin.
Активность OldGremlin (aka TinyScouts) была впервые замечена аналитиками Group-IB Threat Intelligence в марте 2020 года. Всего за два с половиной года OldGremlin провели 16 кампаний по рассылке вредоносных писем по российским организациям.
Самым насыщенным для «гремлинов» оказался 2020 год — вымогатели отправили десять рассылок якобы от имени микрофинансовых организаций, металлургического холдинга, белорусского завода «МТЗ», а также медиахолдинга РБК. В 2021 году была проведена всего одна, но крайне успешная кампания от имени «Ассоциации интернет-торговли», в 2022 году — уже пять — якобы от сервисов «Консультант Плюс», «1С-Битрикс», платежной системы и др.
Рассылки «гремлинов» четко нацелены на определенные отрасли. Среди их жертв — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
По оценкам экспертов Group-IB, средняя сумма требуемого выкупа OldGremlin составляет около 100 млн рублей, а максимальная сумма требуемого выкупа — это рекорд по России в 2022 году — достигла 1 млрд руб. В отличии от других групп вымогателей — участников “Big Game Hunting” — охоты на крупную цель, “гремлины” после проведения успешной атаки могут позволить себе длительные отпуска.
Фишинг как предчувствие
Как и большинство «классических» вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма. Актуальная повестка и тема рассылок (пандемия, удаленная работа, антироссийские санкции) в сочетании с качественно подготовленным текстом писем в виде запроса на интервью, коммерческого предложения или финансового документа, позволяла злоумышленникам без особого труда заставить получателей перейти по ссылкам и загрузить вредоносные файлы. Массовый характер рассылки позволял атакующим скомпрометировать рабочие станции сразу несколько сотрудников, что упрощало развитие атаки внутри сети жертвы.
Несмотря на то, что в основном OldGremlin нацелены на корпоративные сети под управлением OC Windows, последние атаки показали, что в их арсенале есть и программа-вымогатель, разработанная для ОС Linux. Атакующие следят за последними тенденциями в мире кибербезопасности и “миксуют” новые уязвимости и методы проведения атак с проверенными временем инструментами, например, Cobalt Strike и проекты с открытым исходным кодом (например, PowerSploit). В качестве способа повышения привилегий в ходе реагирований на инциденты была выявлена эксплуатация уязвимостей в Cisco AnyConnect. Для своих атак «гремлины» разработали целый Tiny-framework и активно развивали его от кампании к кампании.
В среднем «гремлины» проводят в сети жертвы 49 дней перед тем, как развернуть в сети программу-вымогатель, что делает актуальными не только реактивные, но и проактивные методы обнаружения киберугроз, отсекающие возможность заражения программой-шифровальщиком через канал электронной почты и других.
В исследовании, построенном на результатах реагирований на инциденты экспертами Лаборатории цифровой криминалистики Group-IB и Threat Intelligence, подробно проанализированы все 16 кампаний группы и впервые приведен полный цикл атаки (Kill Chain) «гремлинов», начиная с фишинговых рассылок и первоначального получения доступа и заканчивая шифрованием, и требованием выкупа у жертвы.
«По нашим данным, на счету OldGremlin почти два десятка атак с многомиллионными выкупами, причем в качестве жертв атакующие выбирают все более крупные корпорации, — замечает Иван Писарев, руководитель отдела динамического анализа Group-IB Threat Intelligence. — Несмотря на то, что пока география атакованных OldGremlin организаций ограничивается Россией, мы полагаем, что не стоит их недооценивать: многие русскоязычные преступные группировки, начав свою деятельность на постсоветском пространстве постепенно переключались на международные цели."