OldGremlin: il gruppo ransomware che colpisce la Russia a suon di 4 milioni di euro

Group-IB ha pubblicato il primo rapporto analitico “OldGremlin. Analisi degli attacchi di gruppo ransomware mirati alle imprese russe” , dedicato al gruppo di hacker ransomware di lingua russa. 

In soli due anni e mezzo, i gremlin, secondo Group-IB, hanno effettuato 16 attacchi per ottenere riscatti per la decrittazione dei dati. 

Per il secondo anno consecutivo gli estorsionisti hanno battuto un record: se nel 2021 il gruppo chiedeva alla vittima 250.000 milioni di rubli (circa 4 milioni di euro) per il ripristino dell’accesso ai dati, nel 2022 il loro prezzo è salito a 1 miliardo di rubli (circa 16 milioni di euro).

Al momento, OldGremlin è noto per attaccare solo obiettivi russi, ma gli appetiti del gruppo potrebbero potenzialmente avere una geografia futura più ampia.

L’effetto Gremlin

Nonostante la fulminea minaccia degli attacchi ransomware sul mercato internazionale, gli affari in Russia si considerano da tempo un obiettivo poco attraente per questo genere di minaccia. 

Tuttavia, nel 2021, è stato confutata questa opinione consolidata: il numero di attacchi informatici ransomware alle aziende russe è aumentato di oltre il 200%. Uno degli estorsionisti più importanti e più “avidi” che attualmente attacca solo le società russe è diventato un gruppo chiamato OldGremlin.

L’attività di OldGremlin (alias TinyScouts) è stata individuata per la prima volta dagli analisti di Group-IB Threat Intelligence nel marzo 2020 ed effettuata una analisi accurata nel settembre 2020 dal nome “OldGremlin’s Big Hunt: Ransomware Operators Attack Major Russian Companies and Banks“.

In soli due anni e mezzo, OldGremlin, secondo Group-IB, ha condotto 16 campagne per inviare e-mail dannose alle organizzazioni russe.

Il 2020 si è rivelato essere l’anno più impegnativo per la cybergang gremlin: gli estorsionisti hanno inviato dieci mailing list presumibilmente per conto di organizzazioni di microfinanza, una holding metallurgica, lo stabilimento bielorusso MTZ e una holding di media RBC. 

Nel 2021 è stata effettuata una sola campagna, ma di grande successo, per conto dell’Associazione per il commercio su Internet.

Le mailing list di Gremlins sono chiaramente mirate a determinati settori. Tra le loro vittime ci sono banche, società di logistica, industriali e assicurative, oltre a rivenditori, sviluppatori, società specializzate nello sviluppo di software. 

Nel 2020, il gruppo ha persino attaccato una delle fabbriche di armi in Russia.

Secondo gli esperti del Gruppo-IB, l’importo medio dell’acquisizione richiesta di OldGremlin è di circa 100 milioni di rubli (circa un 1.600.000 euro).

Invece l’importo massimo del riscatto richiesta, che è un record per la Russia nel 2022, ha raggiunto 1 miliardo di rubli (circa 16 milioni di euro).

A differenza di altri gruppi di estorsionisti a caccia di un grande obiettivo, i “gremlins” dopo un attacco riuscito possono permettersi lunghe vacanze.

Phishing come intuizione

Come la maggior parte dei ransomware “classici” specializzati in attacchi alle reti aziendali, OldGremlin ha utilizzato e-mail di phishing per ottenere l’accesso iniziale. 

Gli argomenti attuali delle email sono pandemia, lavoro a distanza, sanzioni anti-russe, combinati con un testo ben preparato delle lettere sotto forma di richiesta di colloquio, offerta commerciale o documento finanziario, hanno consentito agli aggressori di costringere facilmente i destinatari a fare clic su collegamenti e scaricare file dannosi. La natura massiva dell’invio di posta ha consentito agli aggressori di compromettere le workstation di più dipendenti contemporaneamente, il che ha semplificato lo sviluppo dell’attacco all’interno della rete della vittima.

Nonostante OldGremlin prenda di mira principalmente le reti aziendali che eseguono Windows, attacchi recenti hanno dimostrato che hanno anche ransomware progettato per il sistema operativo Linux nel loro arsenale. Gli aggressori seguono le ultime tendenze nel mondo della sicurezza informatica e “mescolano” nuove vulnerabilità e metodi di attacco con strumenti collaudati come Cobalt Strike e progetti open source come PowerSploit. 

In media, i “gremlins” trascorrono 49 giorni sulla rete della vittima prima di distribuire il ransomware. Basandosi sulle risposte agli incidenti di Digital Forensics Lab e Threat Intelligence di Group-IB, lo studio analizza in dettaglio tutte le 16 campagne del gruppo e per la prima volta fornisce una Kill Chain di Gremlins completa. Si parte dalle e-mail di phishing all’accesso iniziale fino ad arrivare alla crittografia per poi richiedere un riscatto dalla vittima.

“Nonostante il fatto che finora la geografia delle organizzazioni attaccate da OldGremlin sia circoscritta alla Russia, riteniamo che non siano da sottovalutare: molti gruppi criminali di lingua russa, avendo iniziato le loro attività nello spazio post-sovietico, sono gradualmente passati a obiettivi internazionali”.

Afferma Ivan Pisarev, responsabile dell’analisi dinamica presso Group-IB Threat Intelligence. 

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.