OldGremlin: il gruppo ransomware che colpisce la Russia a suon di 4 milioni di euro

Group-IB ha pubblicato il primo rapporto analitico “OldGremlin. Analisi degli attacchi di gruppo ransomware mirati alle imprese russe” , dedicato al gruppo di hacker ransomware di lingua russa. 

In soli due anni e mezzo, i gremlin, secondo Group-IB, hanno effettuato 16 attacchi per ottenere riscatti per la decrittazione dei dati. 

Per il secondo anno consecutivo gli estorsionisti hanno battuto un record: se nel 2021 il gruppo chiedeva alla vittima 250.000 milioni di rubli (circa 4 milioni di euro) per il ripristino dell’accesso ai dati, nel 2022 il loro prezzo è salito a 1 miliardo di rubli (circa 16 milioni di euro).

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Al momento, OldGremlin è noto per attaccare solo obiettivi russi, ma gli appetiti del gruppo potrebbero potenzialmente avere una geografia futura più ampia.

L’effetto Gremlin

Nonostante la fulminea minaccia degli attacchi ransomware sul mercato internazionale, gli affari in Russia si considerano da tempo un obiettivo poco attraente per questo genere di minaccia. 

Tuttavia, nel 2021, è stato confutata questa opinione consolidata: il numero di attacchi informatici ransomware alle aziende russe è aumentato di oltre il 200%. Uno degli estorsionisti più importanti e più “avidi” che attualmente attacca solo le società russe è diventato un gruppo chiamato OldGremlin.

L’attività di OldGremlin (alias TinyScouts) è stata individuata per la prima volta dagli analisti di Group-IB Threat Intelligence nel marzo 2020 ed effettuata una analisi accurata nel settembre 2020 dal nome “OldGremlin’s Big Hunt: Ransomware Operators Attack Major Russian Companies and Banks“.

In soli due anni e mezzo, OldGremlin, secondo Group-IB, ha condotto 16 campagne per inviare e-mail dannose alle organizzazioni russe.

Il 2020 si è rivelato essere l’anno più impegnativo per la cybergang gremlin: gli estorsionisti hanno inviato dieci mailing list presumibilmente per conto di organizzazioni di microfinanza, una holding metallurgica, lo stabilimento bielorusso MTZ e una holding di media RBC. 

Nel 2021 è stata effettuata una sola campagna, ma di grande successo, per conto dell’Associazione per il commercio su Internet.

Le mailing list di Gremlins sono chiaramente mirate a determinati settori. Tra le loro vittime ci sono banche, società di logistica, industriali e assicurative, oltre a rivenditori, sviluppatori, società specializzate nello sviluppo di software. 

Nel 2020, il gruppo ha persino attaccato una delle fabbriche di armi in Russia.

Secondo gli esperti del Gruppo-IB, l’importo medio dell’acquisizione richiesta di OldGremlin è di circa 100 milioni di rubli (circa un 1.600.000 euro).

Invece l’importo massimo del riscatto richiesta, che è un record per la Russia nel 2022, ha raggiunto 1 miliardo di rubli (circa 16 milioni di euro).

A differenza di altri gruppi di estorsionisti a caccia di un grande obiettivo, i “gremlins” dopo un attacco riuscito possono permettersi lunghe vacanze.

Phishing come intuizione

Come la maggior parte dei ransomware “classici” specializzati in attacchi alle reti aziendali, OldGremlin ha utilizzato e-mail di phishing per ottenere l’accesso iniziale. 

Gli argomenti attuali delle email sono pandemia, lavoro a distanza, sanzioni anti-russe, combinati con un testo ben preparato delle lettere sotto forma di richiesta di colloquio, offerta commerciale o documento finanziario, hanno consentito agli aggressori di costringere facilmente i destinatari a fare clic su collegamenti e scaricare file dannosi. La natura massiva dell’invio di posta ha consentito agli aggressori di compromettere le workstation di più dipendenti contemporaneamente, il che ha semplificato lo sviluppo dell’attacco all’interno della rete della vittima.

Nonostante OldGremlin prenda di mira principalmente le reti aziendali che eseguono Windows, attacchi recenti hanno dimostrato che hanno anche ransomware progettato per il sistema operativo Linux nel loro arsenale. Gli aggressori seguono le ultime tendenze nel mondo della sicurezza informatica e “mescolano” nuove vulnerabilità e metodi di attacco con strumenti collaudati come Cobalt Strike e progetti open source come PowerSploit. 

In media, i “gremlins” trascorrono 49 giorni sulla rete della vittima prima di distribuire il ransomware. Basandosi sulle risposte agli incidenti di Digital Forensics Lab e Threat Intelligence di Group-IB, lo studio analizza in dettaglio tutte le 16 campagne del gruppo e per la prima volta fornisce una Kill Chain di Gremlins completa. Si parte dalle e-mail di phishing all’accesso iniziale fino ad arrivare alla crittografia per poi richiedere un riscatto dalla vittima.

“Nonostante il fatto che finora la geografia delle organizzazioni attaccate da OldGremlin sia circoscritta alla Russia, riteniamo che non siano da sottovalutare: molti gruppi criminali di lingua russa, avendo iniziato le loro attività nello spazio post-sovietico, sono gradualmente passati a obiettivi internazionali”.

Afferma Ivan Pisarev, responsabile dell’analisi dinamica presso Group-IB Threat Intelligence. 

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.