Фишинг как предчувствие
Как и большинство «классических» вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма. Актуальная повестка и тема рассылок (пандемия, удаленная работа, антироссийские санкции) в сочетании с качественно подготовленным текстом писем в виде запроса на
интервью, коммерческого предложения или финансового документа, позволяла злоумышленникам без особого труда заставить получателей перейти по ссылкам и загрузить вредоносные файлы. Массовый характер рассылки позволял атакующим скомпрометировать рабочие станции сразу несколько сотрудников, что упрощало развитие атаки внутри сети жертвы.
Несмотря на то, что в основном OldGremlin нацелены на корпоративные сети под управлением OC Windows, последние атаки показали, что в их арсенале есть и программа-вымогатель, разработанная для ОС Linux.
Атакующие следят за последними тенденциями в мире кибербезопасности и “миксуют” новые уязвимости и методы проведения атак с проверенными временем инструментами, например, Cobalt Strike и проекты с открытым исходным кодом (например, PowerSploit). В качестве способа повышения привилегий в ходе реагирований на инциденты была выявлена эксплуатация уязвимостей в Cisco AnyConnect. Для своих атак «гремлины» разработали целый Tiny-framework и активно развивали его от кампании к кампании.
В среднем «гремлины» проводят в сети жертвы 49 дней перед тем, как развернуть в сети программу-вымогатель, что делает актуальными не только реактивные, но и проактивные методы обнаружения киберугроз, отсекающие возможность заражения программой-шифровальщиком через канал электронной почты и других.
В исследовании, построенном на результатах реагирований на инциденты экспертами Лаборатории цифровой криминалистики Group-IB и Threat
Intelligence, подробно проанализированы все 16 кампаний группы и впервые приведен полный цикл атаки (Kill Chain) «гремлинов», начиная с фишинговых рассылок и первоначального получения доступа и заканчивая шифрованием, и требованием выкупа у жертвы.
«По нашим данным, на счету OldGremlin почти два десятка атак с многомиллионными выкупами, причем в качестве жертв атакующие выбирают все более крупные корпорации, — замечает Иван Писарев, руководитель отдела динамического анализа Group-IB Threat Intelligence. — Несмотря на то, что пока география атакованных OldGremlin организаций ограничивается Россией, мы полагаем, что не стоит их недооценивать: многие русскоязычные преступные группировки, начав свою деятельность на постсоветском пространстве постепенно переключались на международные цели. Публикуя первый аналитический отчет, посвященный этой группе мы ставим себе цель предупредить специалистов по кибербезопасности об этой угрозе и дать им возможность принять превентивные меры для ее предотвращения».
Как и всегда, отчет Group-IB открывает доступ к набору данных и подробной информации об актуальных техниках, тактиках и процедурах атакующих (TTPs), описанных на основе MITRE ATT&CK™. Эти сведения будут полезны как организациям, которые борются с киберпреступностью,
и в частности, руководителям команд кибербезопасности, SOC-аналитикам, специалистам по реагированию на инциденты, так и потенциальным жертвам для того, чтобы обезопасить свою инфраструктуру от новых атак OldGremlin.