24 de Septiembre, 2020

Internacional

El nuevo actor de Ransomware Oldgremlin usa Malware personalizado

Apuntando a grandes redes corporativas utilizando puertas traseras de fabricación propia y malware de cifrado de archivos para las etapas inicial y final del ataque. Los ataques atribuidos a este grupo llamado OldGremlin, está operando actualmente a menor escala para ajustar sus herramientas y técnicas antes de globalizarse. OldGremlin utiliza puertas traseras personalizadas: TinyPosh, TinyNode y ransomware TinyCrypt, junto con software de terceros para reconocimiento y movimiento lateral Cobalt Strike, captura de pantalla de la línea de comandos, Mail PassView de NirSoft para la recuperación de contraseña de correo electrónico.

 E.@. La pandilla no es exigente con las víctimas siempre que sean empresas prominentes en Rusia (laboratorios médicos, bancos, fabricantes, desarrolladores de software), lo que indica que está compuesta por miembros de habla rusa. 

El actor de amenazas comienza sus ataques con correos electrónicos de spear phishing que brindan herramientas personalizadas para el acceso inicial. Usan nombres válidos para la dirección del remitente, haciéndose pasar por personas conocidas. Investigadores de la empresa de ciberseguridad Group-IB, con sede en Singapur, dicen que, en un ataque contra un banco, OldGremlin envió un correo electrónico con el pretexto de concertar una entrevista con un periodista de un popular periódico empresarial. 

El periodista falso programó una cita usando una aplicación de calendario y luego se comunicó con la víctima con un enlace a las supuestas preguntas de la entrevista alojadas en un servicio de almacenamiento en línea. Al hacer clic en el enlace descargó la puerta trasera de TinyPosh. Para otro ataque dirigido a un laboratorio clínico, el actor se hizo pasar por RosBiznesConsulting (RBC), un importante holding de medios en Rusia, que tenía problemas para pagar los servicios médicos. 

Parecen estar bien versados ​​en ingeniería social y aprovechan los eventos actuales para hacer que su phishing sea más creíble. Por ejemplo, el 19 de agosto se hicieron pasar por el director ejecutivo de Minsk Tractor Works para informar a los socios rusos que la empresa estaba siendo investigada por participar en protestas antigubernamentales en Bielorrusia y pedirles los documentos requeridos por la fiscalía.

 Fuente