OldGremlin

OldGremlin 2022: el grupo de ransomware  estableció nuevos récords

Group-IB, publicó un primer informe de amenazas que detalla las operaciones del grupo de ransomware de habla rusa OldGremlin:

OldGremlin Ransomware. Never ever feed them after the Locknight”.

Según Group-IB, en tan solo dos años y medio, los “Gremlins” realizaron 16 campañas maliciosas.

OldGremlin sigue siendo una de las pocas bandas de ransomware dirigidas a empresas rusas.

Sin embargo, sus crecientes ambiciones pueden empujarlos a explorar nuevas geografías en el futuro.

Por segundo año consecutivo, OldGremlin exigió el rescate más alto de las organizaciones rusas: en 2021 su demanda de rescate más grande ascendió a $ 4,2 millones, mientras que en 2022 se disparó a $ 16,9 millones.

Como de costumbre, el informe de Group-IB brinda acceso a un conjunto de datos e información detallada sobre las tácticas, técnicas y procedimientos actuales (TTP) utilizados por los atacantes, que se describen utilizando MITRE ATT&CK.

La información proporcionada beneficiará a las organizaciones que luchan contra el ciberdelito, especialmente a los jefes de equipos de seguridad de la información.

Analistas de SOC, respondedores de incidentes y víctimas potenciales que pueden usar la información para proteger su infraestructura de OldGremlin.

OldGremlin
OldGremlin

No alimentes a OldGremlin

En comparación con otras regiones del mundo, el espacio postsoviético siguió siendo un puerto a salvo de los grupos de ransomware que se centraban principalmente en América del Norte, Europa, Asia Pacífico y otros lugares.

Pero este paradigma comenzó a cambiar.

Según Group-IB, el año pasado, la cantidad de ataques de ransomware contra empresas rusas aumentó en más del 200 %. Entre las pandillas de ransomware más notorias que tenían como objetivo esta región se encontraba un grupo llamado OldGremlin.

OldGremlin (también conocido como TinyScouts) fue descubierto por el equipo de inteligencia de amenazas de Group-IB en marzo de 2020 y se describió en detalle en septiembre de 2020 en la publicación del blog.

Según Group-IB, en dos años y medio OldGremlin llevó a cabo un total de 16 campañas de correo electrónico malicioso.

OldGremlin el grupo de ransomware
OldGremlin el grupo de ransomware

OldGremlin estuvo más activo en 2020

Ese año, la pandilla llevó a cabo docenas de campañas, con correos electrónicos que pretendían ser de compañías de microfinanzas, una compañía de metales y minería, un fabricante de tractores y un holding de medios comerciales.

En 2021, el grupo llevó a cabo una campaña única pero muy exitosa: el actor de amenazas que se hace pasar por una asociación de minoristas en línea.

En 2022, OldGremlin llevó a cabo cinco campañas disfrazadas de empresas de servicios legales y fiscales, un sistema de pago, una empresa de TI y más.

La lista de víctimas del grupo incluye bancos, empresas de logística y fabricación, empresas de seguros, minoristas, promotores inmobiliarios y empresas de software.

En 2020, el grupo incluso apuntó a un fabricante de armas.

Según Group-IB, el rescate promedio exigido por OldGremlin asciende a 1,7 millones de dólares, y el rescate más alto hasta la fecha alcanzó los 16,9 millones de dólares.

A diferencia de otros operadores de ransomware involucrados en Big Game Hunting, OldGremlin tiende a tomarse largos descansos después de ataques exitosos.

El oficio del phishing

Como la mayoría de los grupos de ransomware, OldGremlin usó correos electrónicos de phishing para obtener acceso inicial.

El uso de temas de noticias de actualidad (Covid-19, trabajo remoto, sanciones) junto con correos electrónicos bien elaborados y presentados enmascarados como solicitudes de entrevistas, propuestas comerciales y documentos financieros.

Los cuales ayudaron a los actores de amenazas a engañar a los destinatarios para que hicieran clic en enlaces y descargaran contenido archivos maliciosos.

Debido a la escala masiva de sus campañas de correo electrónico, la pandilla pudo comprometer varias estaciones de trabajo a la vez, lo que facilitó el movimiento lateral dentro de la red de la víctima.

Aunque OldGremlin se dirige principalmente a redes corporativas basadas en Windows, los ataques más recientes del grupo muestran que su arsenal incluye ransomware dedicado para Linux.

El actor de amenazas está actualizado sobre las últimas tendencias en ciberseguridad y combina con éxito nuevos métodos con herramientas probadas y probadas como Cobalt Strike y marcos de código abierto (por ejemplo, PowerSploit).

Uno de los métodos de escalada de privilegios identificados por Group-IB fue la explotación de las vulnerabilidades de Cisco AnyConnect. Para facilitar los ataques, OldGremlin desarrolló un marco Tiny completo y luego lo mejoró con cada nueva campaña.

En promedio, los atacantes pasan 49 días en la red de la víctima antes de implementar el ransomware.

Lo que significa que, además de los métodos reactivos para detectar rastros de OldGremlin, también son relevantes los métodos proactivos que ayudan a evitar que la red se infecte con ransomware a través del correo electrónico y otros canales.

IT CONNECT LATAM192Información de valor para ejecutivos que toman decisiones de negocios

El nuevo informe profundiza en las 16 campañas realizadas por el grupo e incluye la primera descripción de toda la cadena de asesinatos de OldGremlin, desde obtener acceso inicial hasta cifrar datos y exigir rescates.

“OldGremlin ha desacreditado el mito de que los grupos de ransomware son indiferentes a las empresas rusas.

Según nuestros datos, el historial de la pandilla incluye casi una veintena de ataques con multimillonarios demandas de rescate.

Las grandes empresas se convierten en sus objetivos preferidos con mayor frecuencia”, dice Ivan Pisarev, jefe del equipo de análisis dinámico de malware en Group-IB.

“A pesar del hecho de que OldGremlin se ha centrado en Rusia hasta ahora, no deben subestimarse en otros lugares.

Muchas pandillas de habla rusa comenzaron apuntando a empresas en el espacio postsoviético y luego cambiaron a otras geografías.

Al publicar el primer informe de amenazas sobre OldGremlin, queremos ayudar a los profesionales de la seguridad a rastrear mejor a OldGremlin y eliminar los riesgos de incidentes que involucren a la pandilla”.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más

Panorama de Amenazas 2022 de FortiGuard Labs

Seguridad 2022: una visión holística de la red

Scroll al inicio