Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 7 Novembre 2022 08:00
Group-IB ha pubblicato il primo rapporto analitico “OldGremlin. Analisi degli attacchi di gruppo ransomware mirati alle imprese russe” , dedicato al gruppo di hacker ransomware di lingua russa.
In soli due anni e mezzo, i gremlin, secondo Group-IB, hanno effettuato 16 attacchi per ottenere riscatti per la decrittazione dei dati.
Per il secondo anno consecutivo gli estorsionisti hanno battuto un record: se nel 2021 il gruppo chiedeva alla vittima 250.000 milioni di rubli (circa 4 milioni di euro) per il ripristino dell’accesso ai dati, nel 2022 il loro prezzo è salito a 1 miliardo di rubli (circa 16 milioni di euro).
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Al momento, OldGremlin è noto per attaccare solo obiettivi russi, ma gli appetiti del gruppo potrebbero potenzialmente avere una geografia futura più ampia.
Nonostante la fulminea minaccia degli attacchi ransomware sul mercato internazionale, gli affari in Russia si considerano da tempo un obiettivo poco attraente per questo genere di minaccia.
Tuttavia, nel 2021, è stato confutata questa opinione consolidata: il numero di attacchi informatici ransomware alle aziende russe è aumentato di oltre il 200%. Uno degli estorsionisti più importanti e più “avidi” che attualmente attacca solo le società russe è diventato un gruppo chiamato OldGremlin.
L’attività di OldGremlin (alias TinyScouts) è stata individuata per la prima volta dagli analisti di Group-IB Threat Intelligence nel marzo 2020 ed effettuata una analisi accurata nel settembre 2020 dal nome “OldGremlin’s Big Hunt: Ransomware Operators Attack Major Russian Companies and Banks“.
In soli due anni e mezzo, OldGremlin, secondo Group-IB, ha condotto 16 campagne per inviare e-mail dannose alle organizzazioni russe.
Il 2020 si è rivelato essere l’anno più impegnativo per la cybergang gremlin: gli estorsionisti hanno inviato dieci mailing list presumibilmente per conto di organizzazioni di microfinanza, una holding metallurgica, lo stabilimento bielorusso MTZ e una holding di media RBC.
Nel 2021 è stata effettuata una sola campagna, ma di grande successo, per conto dell’Associazione per il commercio su Internet.
.png)
Le mailing list di Gremlins sono chiaramente mirate a determinati settori. Tra le loro vittime ci sono banche, società di logistica, industriali e assicurative, oltre a rivenditori, sviluppatori, società specializzate nello sviluppo di software.
Nel 2020, il gruppo ha persino attaccato una delle fabbriche di armi in Russia.
Secondo gli esperti del Gruppo-IB, l’importo medio dell’acquisizione richiesta di OldGremlin è di circa 100 milioni di rubli (circa un 1.600.000 euro).
Invece l’importo massimo del riscatto richiesta, che è un record per la Russia nel 2022, ha raggiunto 1 miliardo di rubli (circa 16 milioni di euro).
A differenza di altri gruppi di estorsionisti a caccia di un grande obiettivo, i “gremlins” dopo un attacco riuscito possono permettersi lunghe vacanze.
Come la maggior parte dei ransomware “classici” specializzati in attacchi alle reti aziendali, OldGremlin ha utilizzato e-mail di phishing per ottenere l’accesso iniziale.
Gli argomenti attuali delle email sono pandemia, lavoro a distanza, sanzioni anti-russe, combinati con un testo ben preparato delle lettere sotto forma di richiesta di colloquio, offerta commerciale o documento finanziario, hanno consentito agli aggressori di costringere facilmente i destinatari a fare clic su collegamenti e scaricare file dannosi. La natura massiva dell’invio di posta ha consentito agli aggressori di compromettere le workstation di più dipendenti contemporaneamente, il che ha semplificato lo sviluppo dell’attacco all’interno della rete della vittima.
Nonostante OldGremlin prenda di mira principalmente le reti aziendali che eseguono Windows, attacchi recenti hanno dimostrato che hanno anche ransomware progettato per il sistema operativo Linux nel loro arsenale. Gli aggressori seguono le ultime tendenze nel mondo della sicurezza informatica e “mescolano” nuove vulnerabilità e metodi di attacco con strumenti collaudati come Cobalt Strike e progetti open source come PowerSploit.
In media, i “gremlins” trascorrono 49 giorni sulla rete della vittima prima di distribuire il ransomware. Basandosi sulle risposte agli incidenti di Digital Forensics Lab e Threat Intelligence di Group-IB, lo studio analizza in dettaglio tutte le 16 campagne del gruppo e per la prima volta fornisce una Kill Chain di Gremlins completa. Si parte dalle e-mail di phishing all’accesso iniziale fino ad arrivare alla crittografia per poi richiedere un riscatto dalla vittima.
.png)
“Nonostante il fatto che finora la geografia delle organizzazioni attaccate da OldGremlin sia circoscritta alla Russia, riteniamo che non siano da sottovalutare: molti gruppi criminali di lingua russa, avendo iniziato le loro attività nello spazio post-sovietico, sono gradualmente passati a obiettivi internazionali”.
Afferma Ivan Pisarev, responsabile dell’analisi dinamica presso Group-IB Threat Intelligence.
RedazioneL’essere umano nella vita quotidiana ha avuto sempre la necessità di essere riconosciuto ed identificato per usufruire di servizi e prestazioni. Ciò è stato possibile utilizzando...
Una bug recentemente scoperto su Apache Tomcat è sfruttato attivamente a seguito del rilascio di una proof-of-concept (PoC) pubblica, 30 ore dopo la divulgazione ufficiale Si tratta del ...
Che siano cybercriminali responsabili di migliaia di vittime in cinque anni di attività è un fatto indiscutibile, e questo deve restare ben impresso nelle nostre menti. Tuttavia, questa stor...
Negli ultimi mesi, il panorama dell’hacktivismo cibernetico ha visto un’intensificazione degli scontri tra gruppi di hacktivisti con orientamenti geopolitici opposti. In particolare, abb...
La causa intentata da Apple contro il governo britannico ha iniziato a essere discussa a porte chiuse presso la Royal Courts of Justice di Londra. L’azienda non è d’accordo con la r...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
