Компания Group-IB объявила об обнаружении хакерской группы, которая в течение последнего полугода провела несколько крупных атак на российские организации с использованием программ-вымогателей и другого вредоносного ПО.
Киберпреступная группировка имеет название OldGremlin. Представители Group-IB отмечают, что хакеры при проведении кибератак используют новое вымогательское ПО TinyCryptor.
Олег Скулкин, старший аналитик Group-IB, отметил: «Все проведенные ими атаки были нацелены только на российские компании, что для русскоязычных хакеров крайне нехарактерно. Подобное очень нестандартно для русскоязычных киберпреступников, у которых есть негласное правило не работать в России и постсоветских странах».
Атаки группировки OldGremlin начинаются с целевого фишинга – сотрудникам компаний отправляются email-письма, содержащие вредоносное ПО (прикрепленные ZIP-файлы), которые при распаковке заражают внутреннюю сеть организации троян-бэкдор TinyNode. Это позволяет получить хакерам начальную точку опоры во внутренней сети, после чего распространение вредоносного ПО происходит горизонтально на другие системы. В завершении атаки развертывается вымогательское ПО.
После шифрования внутренней сети компании хакеры просят около 50 000 долларов за дешифровку.
В Group-IB говорят, что группировка OldGremlin была идентифицирована в августе 2020 г., но активные атаки она проводит с марта 2020 г.
Как отметил Олег Скулкин, кибератаки со стороны русскоязычных хакеров на российские организации крайне редки, но случались и раньше. В частности, известные хакерские группировки Silence и Cobalt начинали свою деятельность именно в России, а только потом начинали атаковать сначала соседние государства, а затем нацеливались и на организации по всему миру.
Равид Лаэб, специалист компании KELA, прокомментировал отчет Group-IB: «Если хакеры русские, то это очень необычно, потому что они компании в своей стране обычно не атакуют. Также есть вероятность, что они не русские, но действуют из соседних стран. Например, это могут быть граждане Украины, которые, вероятно, имеют двойной стимул для нападения на российские организации, как финансовые, так и государственные".