{"id":232,"date":"2022-10-20T11:31:51","date_gmt":"2022-10-20T14:31:51","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=232"},"modified":"2022-10-28T15:19:12","modified_gmt":"2022-10-28T18:19:12","slug":"oldgremlin-0000000000000000000000000002022","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/oldgremlin-0000000000000000000000000002022\/","title":{"rendered":"OldGremlin 2022: el grupo de ransomware\u00a0 estableci\u00f3 nuevos r\u00e9cords"},"content":{"rendered":"

Group-IB, public\u00f3 un primer informe de amenazas que detalla las operaciones del grupo de ransomware de habla rusa OldGremlin: <\/strong><\/h2>\n

\u201cOldGremlin Ransomware. Never ever feed them after the Locknight<\/strong>\u201d.<\/p>\n

Seg\u00fan Group-IB, en tan solo dos a\u00f1os y medio, los \u201cGremlins\u201d realizaron 16 campa\u00f1as maliciosas.<\/p>\n

OldGremlin<\/strong> sigue siendo una de las pocas bandas de ransomware dirigidas a empresas rusas.<\/p>\n

Sin embargo, sus crecientes ambiciones pueden empujarlos a explorar nuevas geograf\u00edas en el futuro.<\/p>\n

Por segundo a\u00f1o consecutivo, OldGremlin exigi\u00f3 el rescate m\u00e1s alto de las organizaciones rusas: en 2021 su demanda de rescate m\u00e1s grande ascendi\u00f3 a $ 4,2 millones, mientras que en 2022 se dispar\u00f3 a $ 16,9 millones.<\/p>\n

Como de costumbre, el informe de Group-IB brinda acceso a un conjunto de datos e informaci\u00f3n detallada sobre las t\u00e1cticas, t\u00e9cnicas y procedimientos actuales (TTP) utilizados por los atacantes, que se describen utilizando MITRE ATT&CK.<\/p>\n

La informaci\u00f3n proporcionada beneficiar\u00e1 a las organizaciones que luchan contra el ciberdelito, especialmente a los jefes de equipos de seguridad de la informaci\u00f3n.<\/p>\n

Analistas de SOC, respondedores de incidentes y v\u00edctimas potenciales que pueden usar la informaci\u00f3n para proteger su infraestructura de OldGremlin.<\/p>\n

\"OldGremlin\"<\/a>
OldGremlin<\/figcaption><\/figure>\n

No alimentes a OldGremlin<\/strong><\/h3>\n

En comparaci\u00f3n con otras regiones del mundo, el espacio postsovi\u00e9tico sigui\u00f3 siendo un puerto a salvo de los grupos de ransomware que se centraban principalmente en Am\u00e9rica del Norte, Europa, Asia Pac\u00edfico y otros lugares.<\/p>\n

Pero este paradigma comenz\u00f3 a cambiar.<\/p>\n

Seg\u00fan Group-IB, el a\u00f1o pasado, la cantidad de ataques de ransomware contra empresas rusas aument\u00f3 en m\u00e1s del 200 %. Entre las pandillas de ransomware m\u00e1s notorias que ten\u00edan como objetivo esta regi\u00f3n se encontraba un grupo llamado OldGremlin.<\/p>\n

OldGremlin (tambi\u00e9n conocido como TinyScouts<\/strong>) fue descubierto por el equipo de inteligencia de amenazas de Group-IB en marzo de 2020 y se describi\u00f3 en detalle en septiembre de 2020 en la publicaci\u00f3n del blog.<\/p>\n

Seg\u00fan Group-IB, en dos a\u00f1os y medio OldGremlin llev\u00f3 a cabo un total de 16 campa\u00f1as de correo electr\u00f3nico malicioso.<\/p>\n

\"OldGremlin<\/a>
OldGremlin el grupo de ransomware<\/figcaption><\/figure>\n

OldGremlin estuvo m\u00e1s activo en 2020<\/strong><\/h3>\n

Ese a\u00f1o, la pandilla llev\u00f3 a cabo docenas de campa\u00f1as, con correos electr\u00f3nicos que pretend\u00edan ser de compa\u00f1\u00edas de microfinanzas, una compa\u00f1\u00eda de metales y miner\u00eda, un fabricante de tractores y un holding de medios comerciales.<\/p>\n

En 2021, el grupo llev\u00f3 a cabo una campa\u00f1a \u00fanica pero muy exitosa: el actor de amenazas que se hace pasar por una asociaci\u00f3n de minoristas en l\u00ednea.<\/p>\n

En 2022, OldGremlin llev\u00f3 a cabo cinco campa\u00f1as disfrazadas de empresas de servicios legales y fiscales, un sistema de pago, una empresa de TI y m\u00e1s.<\/p>\n

La lista de v\u00edctimas del grupo incluye bancos, empresas de log\u00edstica y fabricaci\u00f3n, empresas de seguros, minoristas, promotores inmobiliarios y empresas de software.<\/p>\n

En 2020, el grupo incluso apunt\u00f3 a un fabricante de armas.<\/p>\n

Seg\u00fan Group-IB, el rescate promedio exigido por OldGremlin asciende a 1,7 millones de d\u00f3lares, y el rescate m\u00e1s alto hasta la fecha alcanz\u00f3 los 16,9 millones de d\u00f3lares.<\/p>\n

A diferencia de otros operadores de ransomware involucrados en Big Game Hunting, OldGremlin tiende a tomarse largos descansos despu\u00e9s de ataques exitosos.<\/p>\n

El oficio del phishing<\/strong><\/h3>\n

Como la mayor\u00eda de los grupos de ransomware, OldGremlin us\u00f3 correos electr\u00f3nicos de phishing para obtener acceso inicial.<\/p>\n

El uso de temas de noticias de actualidad (Covid-19, trabajo remoto, sanciones) junto con correos electr\u00f3nicos bien elaborados y presentados enmascarados como solicitudes de entrevistas, propuestas comerciales y documentos financieros.<\/p>\n

Los cuales ayudaron a los actores de amenazas a enga\u00f1ar a los destinatarios para que hicieran clic en enlaces y descargaran contenido archivos maliciosos.<\/p>\n

Debido a la escala masiva de sus campa\u00f1as de correo electr\u00f3nico, la pandilla pudo comprometer varias estaciones de trabajo a la vez, lo que facilit\u00f3 el movimiento lateral dentro de la red de la v\u00edctima.<\/p>\n

Aunque OldGremlin se dirige principalmente a redes corporativas basadas en Windows, los ataques m\u00e1s recientes del grupo muestran que su arsenal incluye ransomware dedicado para Linux.<\/p>\n

El actor de amenazas est\u00e1 actualizado sobre las \u00faltimas tendencias en ciberseguridad y combina con \u00e9xito nuevos m\u00e9todos con herramientas probadas y probadas como Cobalt Strike y marcos de c\u00f3digo abierto (por ejemplo, PowerSploit).<\/p>\n

Uno de los m\u00e9todos de escalada de privilegios identificados por Group-IB fue la explotaci\u00f3n de las vulnerabilidades de Cisco AnyConnect. Para facilitar los ataques, OldGremlin desarroll\u00f3 un marco Tiny completo y luego lo mejor\u00f3 con cada nueva campa\u00f1a.<\/p>\n

En promedio, los atacantes pasan 49 d\u00edas en la red de la v\u00edctima antes de implementar el ransomware.<\/p>\n

Lo que significa que, adem\u00e1s de los m\u00e9todos reactivos para detectar rastros de OldGremlin, tambi\u00e9n son relevantes los m\u00e9todos proactivos que ayudan a evitar que la red se infecte con ransomware a trav\u00e9s del correo electr\u00f3nico y otros canales.<\/p>\n\n\n\n
\"\"<\/a><\/td>\nInformaci\u00f3n de valor para ejecutivos que toman decisiones de negocios<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El nuevo informe profundiza en las 16 campa\u00f1as realizadas por el grupo e incluye la primera descripci\u00f3n de toda la cadena de asesinatos de OldGremlin, desde obtener acceso inicial hasta cifrar datos y exigir rescates.<\/p>\n

\u201cOldGremlin ha desacreditado el mito de que los grupos de ransomware son indiferentes a las empresas rusas.<\/p>\n

Seg\u00fan nuestros datos, el historial de la pandilla incluye casi una veintena de ataques con multimillonarios demandas de rescate.<\/p>\n

Las grandes empresas se convierten en sus objetivos preferidos con mayor frecuencia\u201d, dice Ivan Pisarev, jefe del equipo de an\u00e1lisis din\u00e1mico de malware en Group-IB<\/strong>.<\/p>\n

\u201cA pesar del hecho de que OldGremlin se ha centrado en Rusia hasta ahora, no deben subestimarse en otros lugares.<\/p>\n

Muchas pandillas de habla rusa comenzaron apuntando a empresas en el espacio postsovi\u00e9tico y luego cambiaron a otras geograf\u00edas.<\/p>\n

Al publicar el primer informe de amenazas sobre OldGremlin, queremos ayudar a los profesionales de la seguridad a rastrear mejor a OldGremlin y eliminar los riesgos de incidentes que involucren a la pandilla\u201d.<\/p>\n

 <\/p>\n

Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n

Lea m\u00e1s<\/p>\n

Panorama de Amenazas 2022 de FortiGuard Labs<\/a><\/p>\n

Seguridad 2022: una visi\u00f3n hol\u00edstica de la red<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Group-IB, public\u00f3 un primer informe de amenazas que detalla las operaciones del grupo de ransomware de habla rusa OldGremlin: \u201cOldGremlin Ransomware. Never ever feed them after the Locknight\u201d. Seg\u00fan Group-IB, en tan solo dos a\u00f1os y medio, los \u201cGremlins\u201d realizaron 16 campa\u00f1as maliciosas. OldGremlin sigue siendo una de las pocas bandas de ransomware dirigidas a […]<\/p>\n","protected":false},"author":2,"featured_media":233,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[236,233,235,234],"class_list":["post-232","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-group-ib","tag-oldgremlin","tag-ransomware","tag-tinyscouts"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=232"}],"version-history":[{"count":4,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/232\/revisions"}],"predecessor-version":[{"id":305,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/232\/revisions\/305"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/233"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}