Group-IB, один из мировых лидеров в сфере кибербезопасности, выпустила первый аналитический отчет «OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес», посвященный русскоговорящей хакерской группировке вымогателей. Всего за два с половиной года «гремлины», по данным Group-IB, провели 16 вредоносных кампаний с целью получения выкупа за расшифровку данных. Второй год подряд вымогатели бьют рекорд: если в 2021 году группа требовала у жертвы 250 000 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб. На данный момент известно, что OldGremlin атакует исключительно российские цели, однако аппетиты группировки потенциально могут иметь более широкую географию.
«Эффект гремлина»
Несмотря на молниеносный рост угрозы атак шифровальщиков на международном рынке, бизнес в России долгое время считал себя непривлекательной целью для этой угрозы. Однако в 2021 год опроверг это устоявшееся мнение: количество кибератак вымогателей на российские компании увеличилось более чем на 200%. Одним из заметных и наиболее «жадных» вымогателей, атакующим на данный момент исключительно российские компании стала группа, получившая название OldGremlin.
Активность OldGremlin (aka TinyScouts) была впервые замечена аналитиками Group-IB Threat Intelligence в марте 2020 года и подробно описана в сентябре 2020 года в блоге «Большая охота OldGremlin: операторы шифровальщика атакуют крупные компании и банки России». Всего за два с половиной года OldGremlin, по данным Group-IB, провели 16 кампаний по рассылке вредоносных писем по российским организациям.
Самым насыщенным для «гремлинов» оказался 2020 год — вымогатели отправили десять рассылок якобы от имени микрофинансовых организаций, металлургического холдинга, белорусского завода «МТЗ», а также медиахолдинга РБК. В 2021 году была проведена всего одна, но крайне успешная кампания от имени «Ассоциации интернет-торговли», в 2022 году — уже пять — якобы от сервисов «Консультант Плюс», «1С-Битрикс», платежной системы и др.
Рассылки «гремлинов» четко нацелены на определенные отрасли. Среди их жертв — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.
По оценкам экспертов Group-IB, средняя сумма требуемого выкупа OldGremlin составляет около 100 млн рублей, а максимальная сумма требуемого выкупа — это рекорд по России в 2022 году — достигла 1 млрд руб. В отличии от других групп вымогателей — участников «Big Game Hunting» — охоты на крупную цель, «гремлины» после проведения успешной атаки могут позволить себе длительные отпуска.
Фишинг как предчувствие
Как и большинство «классических» вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма. Актуальная повестка и тема рассылок (пандемия, удаленная работа, антироссийские санкции) в сочетании с качественно подготовленным текстом писем в виде запроса на интервью, коммерческого предложения или финансового документа, позволяла злоумышленникам без особого труда заставить получателей перейти по ссылкам и загрузить вредоносные файлы. Массовый характер рассылки позволял атакующим скомпрометировать рабочие станции сразу несколько сотрудников, что упрощало развитие атаки внутри сети жертвы.
Несмотря на то, что в основном OldGremlin нацелены на корпоративные сети под управлением OC Windows, последние атаки показали, что в их арсенале есть и программа-вымогатель, разработанная для ОС Linux. Атакующие следят за последними тенденциями в мире кибербезопасности и «миксуют» новые уязвимости и методы проведения атак с проверенными временем инструментами, например, Cobalt Strike и проекты с открытым исходным кодом (например, PowerSploit). В качестве способа повышения привилегий в ходе реагирований на инциденты была выявлена эксплуатация уязвимостей в Cisco AnyConnect. Для своих атак «гремлины» разработали целый Tiny-framework и активно развивали его от кампании к кампании.
В среднем «гремлины» проводят в сети жертвы 49 дней перед тем, как развернуть в сети программу-вымогатель, что делает актуальными не только реактивные, но и проактивные методы обнаружения киберугроз, отсекающие возможность заражения программой-шифровальщиком через канал электронной почты и других.
В исследовании, построенном на результатах реагирований на инциденты экспертами Лаборатории цифровой криминалистики Group-IB и Threat Intelligence, подробно проанализированы все 16 кампаний группы и впервые приведен полный цикл атаки (Kill Chain) «гремлинов», начиная с фишинговых рассылок и первоначального получения доступа и заканчивая шифрованием, и требованием выкупа у жертвы.
«По нашим данным, на счету OldGremlin почти два десятка атак с многомиллионными выкупами, причем в качестве жертв атакующие выбирают все более крупные корпорации, — замечает Иван Писарев, руководитель отдела динамического анализа Group-IB Threat Intelligence. — Несмотря на то, что пока география атакованных OldGremlin организаций ограничивается Россией, мы полагаем, что не стоит их недооценивать: многие русскоязычные преступные группировки, начав свою деятельность на постсоветском пространстве постепенно переключались на международные цели. Публикуя первый аналитический отчет, посвященный этой группе мы ставим себе цель предупредить специалистов по кибербезопасности об этой угрозе и дать им возможность принять превентивные меры для ее предотвращения».
Как и всегда, отчет Group-IB открывает доступ к набору данных и подробной информации об актуальных техниках, тактиках и процедурах атакующих (TTPs), описанных на основе MITRE ATT&CK™. Эти сведения будут полезны как организациям, которые борются с киберпреступностью, и в частности, руководителям команд кибербезопасности, SOC-аналитикам, специалистам по реагированию на инциденты, так и потенциальным жертвам для того, чтобы обезопасить свою инфраструктуру от новых атак OldGremlin.