Redazione RHC : 7 Novembre 2022 08:00
Group-IB ha pubblicato il primo rapporto analitico “OldGremlin. Analisi degli attacchi di gruppo ransomware mirati alle imprese russe” , dedicato al gruppo di hacker ransomware di lingua russa.
In soli due anni e mezzo, i gremlin, secondo Group-IB, hanno effettuato 16 attacchi per ottenere riscatti per la decrittazione dei dati.
Per il secondo anno consecutivo gli estorsionisti hanno battuto un record: se nel 2021 il gruppo chiedeva alla vittima 250.000 milioni di rubli (circa 4 milioni di euro) per il ripristino dell’accesso ai dati, nel 2022 il loro prezzo è salito a 1 miliardo di rubli (circa 16 milioni di euro).
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Al momento, OldGremlin è noto per attaccare solo obiettivi russi, ma gli appetiti del gruppo potrebbero potenzialmente avere una geografia futura più ampia.
Nonostante la fulminea minaccia degli attacchi ransomware sul mercato internazionale, gli affari in Russia si considerano da tempo un obiettivo poco attraente per questo genere di minaccia.
Tuttavia, nel 2021, è stato confutata questa opinione consolidata: il numero di attacchi informatici ransomware alle aziende russe è aumentato di oltre il 200%. Uno degli estorsionisti più importanti e più “avidi” che attualmente attacca solo le società russe è diventato un gruppo chiamato OldGremlin.
L’attività di OldGremlin (alias TinyScouts) è stata individuata per la prima volta dagli analisti di Group-IB Threat Intelligence nel marzo 2020 ed effettuata una analisi accurata nel settembre 2020 dal nome “OldGremlin’s Big Hunt: Ransomware Operators Attack Major Russian Companies and Banks“.
In soli due anni e mezzo, OldGremlin, secondo Group-IB, ha condotto 16 campagne per inviare e-mail dannose alle organizzazioni russe.
Il 2020 si è rivelato essere l’anno più impegnativo per la cybergang gremlin: gli estorsionisti hanno inviato dieci mailing list presumibilmente per conto di organizzazioni di microfinanza, una holding metallurgica, lo stabilimento bielorusso MTZ e una holding di media RBC.
Nel 2021 è stata effettuata una sola campagna, ma di grande successo, per conto dell’Associazione per il commercio su Internet.
.png)
Le mailing list di Gremlins sono chiaramente mirate a determinati settori. Tra le loro vittime ci sono banche, società di logistica, industriali e assicurative, oltre a rivenditori, sviluppatori, società specializzate nello sviluppo di software.
Nel 2020, il gruppo ha persino attaccato una delle fabbriche di armi in Russia.
Secondo gli esperti del Gruppo-IB, l’importo medio dell’acquisizione richiesta di OldGremlin è di circa 100 milioni di rubli (circa un 1.600.000 euro).
Invece l’importo massimo del riscatto richiesta, che è un record per la Russia nel 2022, ha raggiunto 1 miliardo di rubli (circa 16 milioni di euro).
A differenza di altri gruppi di estorsionisti a caccia di un grande obiettivo, i “gremlins” dopo un attacco riuscito possono permettersi lunghe vacanze.
Come la maggior parte dei ransomware “classici” specializzati in attacchi alle reti aziendali, OldGremlin ha utilizzato e-mail di phishing per ottenere l’accesso iniziale.
Gli argomenti attuali delle email sono pandemia, lavoro a distanza, sanzioni anti-russe, combinati con un testo ben preparato delle lettere sotto forma di richiesta di colloquio, offerta commerciale o documento finanziario, hanno consentito agli aggressori di costringere facilmente i destinatari a fare clic su collegamenti e scaricare file dannosi. La natura massiva dell’invio di posta ha consentito agli aggressori di compromettere le workstation di più dipendenti contemporaneamente, il che ha semplificato lo sviluppo dell’attacco all’interno della rete della vittima.
Nonostante OldGremlin prenda di mira principalmente le reti aziendali che eseguono Windows, attacchi recenti hanno dimostrato che hanno anche ransomware progettato per il sistema operativo Linux nel loro arsenale. Gli aggressori seguono le ultime tendenze nel mondo della sicurezza informatica e “mescolano” nuove vulnerabilità e metodi di attacco con strumenti collaudati come Cobalt Strike e progetti open source come PowerSploit.
In media, i “gremlins” trascorrono 49 giorni sulla rete della vittima prima di distribuire il ransomware. Basandosi sulle risposte agli incidenti di Digital Forensics Lab e Threat Intelligence di Group-IB, lo studio analizza in dettaglio tutte le 16 campagne del gruppo e per la prima volta fornisce una Kill Chain di Gremlins completa. Si parte dalle e-mail di phishing all’accesso iniziale fino ad arrivare alla crittografia per poi richiedere un riscatto dalla vittima.
.png)
“Nonostante il fatto che finora la geografia delle organizzazioni attaccate da OldGremlin sia circoscritta alla Russia, riteniamo che non siano da sottovalutare: molti gruppi criminali di lingua russa, avendo iniziato le loro attività nello spazio post-sovietico, sono gradualmente passati a obiettivi internazionali”.
Afferma Ivan Pisarev, responsabile dell’analisi dinamica presso Group-IB Threat Intelligence.
RedazioneLa presentazione del Walker S2 rappresenta un importante passo avanti nell’autonomia operativa dei robot umanoidi. Grazie alla capacità di sostituire autonomamente la propria batteria, il ...
Secondo quanto riportato da Fast Technology il 18 luglio, Jen-Hsun Huang ha raccontato ai media cinesi le proprie origini, spiegando di essere nato cinese e poi diventato sinoamericano. Ha sottolineat...
Sono state identificate diverse vulnerabilità nei prodotti Cisco Identity Services Engine (ISE) e Cisco ISE Passive Identity Connector (ISE-PIC) che potrebbero consentire a un utente malintenzion...
HackerHood, il team di hacker etici di Red Hot Cyber, ha realizzato qualcosa che raramente si vede fuori dalle conferenze più esclusive: un workshop live in cui viene mostrato, passo dopo passo, ...
Google ha rilasciato un aggiornamento di emergenza per il browser Chrome, eliminando sei vulnerabilità contemporaneamente, una delle quali è già attivamente sfruttata in attacchi reali....
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
