Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 7 Novembre 2022 08:00
Group-IB ha pubblicato il primo rapporto analitico “OldGremlin. Analisi degli attacchi di gruppo ransomware mirati alle imprese russe” , dedicato al gruppo di hacker ransomware di lingua russa.
In soli due anni e mezzo, i gremlin, secondo Group-IB, hanno effettuato 16 attacchi per ottenere riscatti per la decrittazione dei dati.
Per il secondo anno consecutivo gli estorsionisti hanno battuto un record: se nel 2021 il gruppo chiedeva alla vittima 250.000 milioni di rubli (circa 4 milioni di euro) per il ripristino dell’accesso ai dati, nel 2022 il loro prezzo è salito a 1 miliardo di rubli (circa 16 milioni di euro).
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Al momento, OldGremlin è noto per attaccare solo obiettivi russi, ma gli appetiti del gruppo potrebbero potenzialmente avere una geografia futura più ampia.
Nonostante la fulminea minaccia degli attacchi ransomware sul mercato internazionale, gli affari in Russia si considerano da tempo un obiettivo poco attraente per questo genere di minaccia.
Tuttavia, nel 2021, è stato confutata questa opinione consolidata: il numero di attacchi informatici ransomware alle aziende russe è aumentato di oltre il 200%. Uno degli estorsionisti più importanti e più “avidi” che attualmente attacca solo le società russe è diventato un gruppo chiamato OldGremlin.
L’attività di OldGremlin (alias TinyScouts) è stata individuata per la prima volta dagli analisti di Group-IB Threat Intelligence nel marzo 2020 ed effettuata una analisi accurata nel settembre 2020 dal nome “OldGremlin’s Big Hunt: Ransomware Operators Attack Major Russian Companies and Banks“.
In soli due anni e mezzo, OldGremlin, secondo Group-IB, ha condotto 16 campagne per inviare e-mail dannose alle organizzazioni russe.
Il 2020 si è rivelato essere l’anno più impegnativo per la cybergang gremlin: gli estorsionisti hanno inviato dieci mailing list presumibilmente per conto di organizzazioni di microfinanza, una holding metallurgica, lo stabilimento bielorusso MTZ e una holding di media RBC.
Nel 2021 è stata effettuata una sola campagna, ma di grande successo, per conto dell’Associazione per il commercio su Internet.
.png)
Le mailing list di Gremlins sono chiaramente mirate a determinati settori. Tra le loro vittime ci sono banche, società di logistica, industriali e assicurative, oltre a rivenditori, sviluppatori, società specializzate nello sviluppo di software.
Nel 2020, il gruppo ha persino attaccato una delle fabbriche di armi in Russia.
Secondo gli esperti del Gruppo-IB, l’importo medio dell’acquisizione richiesta di OldGremlin è di circa 100 milioni di rubli (circa un 1.600.000 euro).
Invece l’importo massimo del riscatto richiesta, che è un record per la Russia nel 2022, ha raggiunto 1 miliardo di rubli (circa 16 milioni di euro).
A differenza di altri gruppi di estorsionisti a caccia di un grande obiettivo, i “gremlins” dopo un attacco riuscito possono permettersi lunghe vacanze.
Come la maggior parte dei ransomware “classici” specializzati in attacchi alle reti aziendali, OldGremlin ha utilizzato e-mail di phishing per ottenere l’accesso iniziale.
Gli argomenti attuali delle email sono pandemia, lavoro a distanza, sanzioni anti-russe, combinati con un testo ben preparato delle lettere sotto forma di richiesta di colloquio, offerta commerciale o documento finanziario, hanno consentito agli aggressori di costringere facilmente i destinatari a fare clic su collegamenti e scaricare file dannosi. La natura massiva dell’invio di posta ha consentito agli aggressori di compromettere le workstation di più dipendenti contemporaneamente, il che ha semplificato lo sviluppo dell’attacco all’interno della rete della vittima.
Nonostante OldGremlin prenda di mira principalmente le reti aziendali che eseguono Windows, attacchi recenti hanno dimostrato che hanno anche ransomware progettato per il sistema operativo Linux nel loro arsenale. Gli aggressori seguono le ultime tendenze nel mondo della sicurezza informatica e “mescolano” nuove vulnerabilità e metodi di attacco con strumenti collaudati come Cobalt Strike e progetti open source come PowerSploit.
In media, i “gremlins” trascorrono 49 giorni sulla rete della vittima prima di distribuire il ransomware. Basandosi sulle risposte agli incidenti di Digital Forensics Lab e Threat Intelligence di Group-IB, lo studio analizza in dettaglio tutte le 16 campagne del gruppo e per la prima volta fornisce una Kill Chain di Gremlins completa. Si parte dalle e-mail di phishing all’accesso iniziale fino ad arrivare alla crittografia per poi richiedere un riscatto dalla vittima.
.png)
“Nonostante il fatto che finora la geografia delle organizzazioni attaccate da OldGremlin sia circoscritta alla Russia, riteniamo che non siano da sottovalutare: molti gruppi criminali di lingua russa, avendo iniziato le loro attività nello spazio post-sovietico, sono gradualmente passati a obiettivi internazionali”.
Afferma Ivan Pisarev, responsabile dell’analisi dinamica presso Group-IB Threat Intelligence.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
