Một nhóm ransomware nói tiếng Nga có tên là OldGremlin đã bị gán cho 16 chiến dịch độc hại nhằm vào các thực thể hoạt động ở quốc gia Á-Âu xuyên lục địa trong suốt hai năm rưỡi.
“Nạn nhân của nhóm bao gồm các công ty trong các lĩnh vực như hậu cần, công nghiệp, bảo hiểm, bán lẻ, bất động sản, phát triển phần mềm và ngân hàng”, Group-IB cho biết trong một báo cáo đầy đủ được chia sẻ với The Hacker News. “Vào năm 2020, tập đoàn này thậm chí còn nhắm tới một nhà sản xuất vũ khí.”
Trong bối cảnh ransomware hiếm có, OldGremlin (hay còn gọi là TinyScouts) là một trong số rất ít các băng nhóm tội phạm mạng có động cơ tài chính chủ yếu tập trung vào các công ty Nga.
Các nhóm đáng chú ý khác bao gồm Dharma, Crylock và Thanos, góp phần làm tăng hơn 200% các cuộc tấn công ransomware nhắm vào các doanh nghiệp trong nước vào năm 2021.
OldGremlin lần đầu tiên được đưa ra ánh sáng vào tháng 9 năm 2020 khi công ty an ninh mạng có trụ sở chính tại Singapore tiết lộ chín chiến dịch do nam diễn viên tổ chức từ tháng 5 đến tháng 8. Cuộc tấn công đầu tiên được phát hiện vào đầu tháng 4 năm 2020.
Tổng cộng, nhóm này được cho là đã thực hiện 10 chiến dịch email lừa đảo vào năm 2020, tiếp theo là một cuộc tấn công rất thành công vào năm 2021 và 5 chiến dịch khác vào năm 2022, với yêu cầu tiền chuộc chạm mức kỷ lục 16,9 triệu đô la.
“OldGremlin nghiên cứu kỹ lưỡng các nạn nhân của họ,” Group-IB giải thích. “Do đó, yêu cầu đòi tiền chuộc thường tỷ lệ thuận với quy mô và doanh thu của công ty và rõ ràng là cao hơn ngân sách cần thiết để đảm bảo mức độ an toàn thông tin phù hợp.”
Được biết đến chủ yếu nhắm mục tiêu vào các mạng doanh nghiệp chạy trên Windows, các cuộc tấn công được thực hiện bởi OldGremlin đã tận dụng các email lừa đảo giả mạo là các công ty dịch vụ thuế và pháp lý để lừa nạn nhân nhấp vào các liên kết lừa đảo và tải xuống các tệp độc hại, cho phép những kẻ tấn công xâm nhập vào bên trong mạng.
“Các tác nhân đe dọa thường là các công ty nổi tiếng, bao gồm tập đoàn truyền thông RBC, hệ thống hỗ trợ pháp lý Consult Plus, công ty 1C-Bitrix, Liên minh các nhà công nghiệp và doanh nhân Nga, và Minsk Tractor Works”, Group-IB cho biết.
Sau khi đạt được chỗ đứng ban đầu, OldGremlin chuyển sang thiết lập tính bền bỉ bằng cách tạo các tác vụ theo lịch trình, đạt được các đặc quyền nâng cao bằng cách sử dụng Cobalt Stroke và thậm chí cả lỗ hổng trong Cisco AnyConnect (CVE-2020-3153 và CVE-2020-3433), đồng thời có được quyền truy cập từ xa vào cơ sở hạ tầng bị xâm phạm bằng cách sử dụng các công cụ như TeamViewer.
Một số khía cạnh khiến nhóm này nổi bật so với các nhóm ransomware khác là nó không dựa vào mã độc tống tiền kép để ép buộc các công ty mục tiêu phải trả tiền dù đã lấy hết dữ liệu. Nó cũng đã được quan sát thấy nghỉ dài sau mỗi cuộc tấn công thành công.
Hơn nữa, thời gian dừng trung bình cho đến khi triển khai ransomware đã được chốt ở 49 ngày, cao hơn nhiều so với thời gian tạm dừng trung bình được báo cáo là 11 ngày, cho thấy nỗ lực kéo dài của một phần tác nhân để kiểm tra miền bị vi phạm (đạt được bằng cách sử dụng một công cụ có tên là TinyScout) .
Làn sóng lừa đảo gần đây nhất của OldGremlin xảy ra vào ngày 23 tháng 8 năm 2022, với các email nhúng liên kết trỏ đến trọng tải lưu trữ ZIP được lưu trữ trên Dropbox để kích hoạt killchain.
Đến lượt mình, các tệp lưu trữ này lại chứa một tệp LNK giả mạo (được gọi là TinyLink) tải xuống một cửa sau có tên là TinyFluff, là một trong bốn mô hình được nhóm sử dụng: TinyPosh, TinyNode và TinyShell, trước khi xóa các bản sao lưu dữ liệu và bỏ đi. TinyCrypt ransomware dựa trên NET.
TinyPosh: Một trojan PowerShell được thiết kế để thu thập và chuyển thông tin nhạy cảm về hệ thống bị nhiễm đến một máy chủ từ xa và khởi chạy các tập lệnh PowerShell bổ sung. TinyNode: Một cửa hậu chạy trình thông dịch Node.js để thực thi các lệnh nhận được từ máy chủ lệnh và điều khiển (C2) qua mạng Tor. TinyFluff: Bản kế thừa của TinyNode, được sử dụng làm trình tải xuống chính để nhận và chạy các tập lệnh độc hại.
Cũng được OldGremlin đưa vào sử dụng là các công cụ khác như TinyShot, một tiện ích giao diện điều khiển để chụp ảnh chụp màn hình, TinyKiller, tiêu diệt các quy trình chống vi-rút thông qua tấn công đưa trình điều khiển dễ bị tấn công (BYOVD) của riêng bạn nhắm mục tiêu vào trình điều khiển gdrv.sys và RTCore64.sys.
Điều đáng chú ý là các nhà khai thác đứng sau nhóm ransomware Blackyte gần đây cũng bị phát hiện lợi dụng cùng một lỗ hổng trong trình điều khiển RTCore64.sys để tắt các giải pháp bảo mật trong các máy bị tấn công.
Một ứng dụng bất thường khác được OldGremlin sử dụng trong các cuộc tấn công là ứng dụng bảng điều khiển .NET có tên TinyIsolator, tạm thời ngắt máy chủ khỏi mạng bằng cách tắt bộ điều hợp mạng trước khi thực thi ransomware.
Trên hết, kho chứa phần mềm độc hại của nhóm bao gồm phiên bản Linux của TinyCrypt, được viết bằng GO và được khởi chạy sau khi xóa tệp .bash_history, thay đổi mật khẩu người dùng để hạn chế quyền truy cập vào máy chủ bị xâm phạm và vô hiệu hóa SSH.
Ivan Pisarev, trưởng nhóm phân tích phần mềm độc hại năng động tại Group-IB, cho biết: “OldGremlin đã vạch trần lầm tưởng rằng các nhóm ransomware thờ ơ với các công ty Nga.
“Mặc dù cho đến nay, OldGremlin vẫn tập trung vào Nga, nhưng không nên đánh giá thấp chúng ở những nơi khác. Nhiều băng nhóm nói tiếng Nga bắt đầu bằng cách nhắm mục tiêu vào các công ty trong không gian hậu Xô Viết và sau đó chuyển sang các khu vực địa lý khác.”
