РУССКИЙ
РУССКИЙ
ENGLISH

Big Game Hunting - теперь и в России

Операторы шифровальщика Oldgremlin атакуют отечественные крупные компании и банки, несмотря на запрет не работать по "РУ"
Письмо не вызвало подозрений. Сотрудник российской медицинской компании кликнул ссылку на скачивание zip-архива, который пришел ему в «Счете на оплату» якобы от финдепартамента медиахолдинга РБК. Уже через 20 секунд после запуска исполняемого файла антивирус Windows Defender удалил вредоносную программу, но этого времени хватило, чтобы троян успел закрепиться в системе зараженного компьютера. Никто ничего не заметил. Спустя три недели после этих событий, когда сотрудники компании утром пришли на работу, на экранах их компьютеров появилась надпись: «Ваши файлы зашифрованы». Работа встала. За расшифровку злоумышленники потребовали $ 50 000 в криптовалюте — так пытается зарабатывать преступная группа OldGremlin.
Group-IB зафиксировала успешную атаку новой преступной группы OldGremlin на российскую медицинскую компанию — злоумышленники полностью зашифровали ее корпоративную сеть и потребовали выкуп в $50 000. Несмотря на негласный запрет в среде киберпреступников «не работать по РУ», OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки и финансовые компании, промышленные предприятия, медицинские организации. Начиная с весны этого года OldGremlin, по оценкам экспертов Group-IB, провела как минимум 9 кампаний по рассылке вредоносных писем якобы от имени микрофинансовых организаций, российского металлургического холдинга, белорусского завода "МТЗ", стоматологической клиники, юридической фирмы, а также медиахолдинга РБК.

Одна из ключевых тенденций 2020 года — точечные атаки операторов программ-вымогателей в Европе, США и Азии на корпоративные сети компаний с десятками тысяч компьютеров и оборотами в миллиарды долларов. За дешифровку, как это было в случае с атакой на Honda или Garmin, атакующие просят выплатить миллионы долларов, но даже заплатив выкуп, жертва часто не может восстановить свои данные. Эксперты называют подобный подход киберпреступников к выбору целей Big Game Hunting ("Охота на крупную дичь"). При том, что большая часть русскоязычных операторов вирусов-шифровальщиков "не работают по РУ" — не атакуют российские банки, финансовые компании, промышленные предприятия, а работают исключительно по зарубежным целям, Group-IB обнаружила новую преступную группу, которая рискнула переступить эти негласные запреты.
Выставили счет
В августе этого года Group-IB cтали известны подробности первой удачной атаки преступной группы OldGremlin. Ее жертвой стала крупная медицинская компания с сетью региональных филиалов, а сама атака началась с фишингового письма, написанного якобы от медиахолдинга РБК.

Как установили аналитики Group-IB Threat Intelligence, на первоначальном этапе, атакующие использовали уникальный самописный бэкдор TinyNode, выполняющий функцию первичного загрузчика, который позволяет скачивать и запускать другие вредоносные программы. Фактически злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, который может дальше использоваться как плацдарм для разведки, сбора данных и дальнейшего продвижения по сети организации. Как и многие другие группы, для эффективной пост-эксплуатации OldGremlin использовали инструмент для пентестеров Cobalt Strike Beacon.

После того, как атакующие провели разведку и убедились в том, что они находятся в домене именно той организации, в которую целились, они продолжили движение по сети, получив в итоге аутентификационные данные учетной записи администратора домена, и даже создали дополнительную учетку с аналогичными правами на случай, если основная будет заблокирована.

Резервное копирование в данном случае не помогло. Спустя несколько недель после начала атаки, злоумышленники удалили резервные копии организации и прямо с того же сервера в один из выходных дней за несколько часов распространили свой вымогатель TinyCryptor на сотни компьютеров корпоративной сети.

Когда на следующий день сотрудники вышли на работу, на экранах их компьютеров появилась надпись: «Ваши файлы зашифрованы, для расшифровки обратитесь …». Ниже был указан почтовый ящик на сервисе ProtonMail, каждый раз создаваемый под новую кампанию. В результате атаки работа региональных подразделений компании была парализована — за расшифровку злоумышленники потребовали $50 000 в криптовалюте.
"OldGremlin — это единственная русскоязычная группа-оператор шифровальщика, которая несмотря на негласный запрет «работает по РУ» и совершает многоступенчатые целевые атаки на российские компании и банки, используя сложные, как у APT, тактики и техники. По аналогии с группами, которые "работают" по иностранным целям, OldGremlin можно отнести к категории Big Game Hunting (Охотники за большой добычей), которая объединяет операторов вирусов-шифровальщиков, которые точечно атакуют крупные компании".

Олег Скулкин
ведущий специалист Лаборатории компьютерной криминалистики, Group-IB:
На волне COVID-19: первые рассылки
Первая атака OldGremlin, по данным Group-IB Threat Intelligence, была зафиксирована в конце марта - начале апреля 2020 года. Используя актуальную тему с COVID-19, злоумышленники от имени Союза микрофинансовых организаций "МиР", разослали по финансовым организациям рекомендации по организации безопасной работы в период пандемии. Именно тогда впервые атакующими был использован самописный троян TinyPosh. Вторая атака произошла 24 апреля — схема была примерно та же, что и в первый раз, но отправителем выступала стоматологическая клиника "Новадент".

Две недели спустя Old Gremlin решили сменить тактику. Они подготовили фейковое письмо от имени российской журналистки РБК, которая якобы приглашала получателей принять участие в неком «Всероссийском исследовании банковского и финансового сектора во время пандемии коронавируса». В отличии от первых писем, сообщение от корреспондента РБК было довольно точно подделано под рассылку медиахолдинга и написано хорошим русским языком.

"Журналистка" назначала потенциальной жертве (банку) 30-минутное интервью: специально для проведения атаки хакеры создали календарь, в котором и назначали встречу жертве. После этого жертве было отправлено повторное письмо, в нем "журналист" сообщала, что якобы «выгрузила вопросы в облако» и ждет ответов на них. Повторное письмо хакеры направляли, чтобы удостовериться, что получатель у них на крючке – он заинтересован, прочитал письмо и перешел по ссылке. Для большей убедительности в каждом письме фигурировала имя крупного иностранного вендора в сфере кибербезопасности, сервисы которого якобы проверяли письмо – так OldGremlin окончательно усыпляли внимание атакуемого.

Как и в первых почтовых рассылках, открытие ссылки в письме приводило к тому, что на машину жертвы загружался троян TinyPosh. Он обеспечивал закрепление в системе, получал права учетной записи, из-под которой запускался троян, и мог по команде от управляющего сервера загружать и запускать другие программы, в нашем случае — Cobalt Strike Beacon. Для сокрытия реального командного сервера хакеры использовали сервер CloudFlare Workers.
OldGremlin шагает по России
После непродолжительных "каникул" группа снова выходит на "охоту" — 13 и 14 августа 2020 CERT-GIB зафиксировал две масштабных рассылки вредоносным писем от имени российского медиахолдинга РБК и металлургической компании. За двое суток преступники разослали около 250 вредоносных писем — целью атаки являлись российские компании из финансовых и производственных отраслей. В отличие от кейса с "журналисткой" (ее имя совпадает с реально работающим корреспондентом РБК) , среди отправителей значатся несуществующие сотрудники.

Уже через несколько дней киберпреступники меняют письмо-приманку, взяв на вооружение главную тему русскоязычных СМИ — белорусские протесты. Утром 19 августа команда CERT-GIB зафиксировала вредоносную рассылку по российским финансовым организациям от имени "Минского Тракторного Завода" (ОАО МТЗ). Опасные письма — всего их было более полусотни — выявила и нейтрализовала система предотвращения сложных киберугроз Threat Detection System (TDS) Group-IB.

Отправителем письма значилась некая Алеся Владимировна (в других письмах - Волохина А.В.) гендиректор/исполнительный директор МТЗ, хотя предприятие возглавляет абсолютно другой человек — Виталий Вовк. Темой для рассылки киберпреступники выбрали протесты и забастовки в РБ: «Увы, порядка недели назад в МТЗ Холдинг нагрянула проверка прокуратуры. Понятное дело, эти события происходят потому, что мы объявили забастовку Лукашенко». Далее в письме получателей просят перейти по ссылке, скачать архив и прислать недостающие документы для проверки.

На самом деле, как выяснили аналитики CERT-GIB, после попытки открытия приложенного к письму файла на компьютер загружается и устанавливается все та же вредоносная программа —- бэкдор TinyPosh, которая по команде от управляющего сервера позволяет скачивать и запускать другие вредоносные программы.
Как это видит TDS Polygon?
19 августа решение Group-IB TDS детектировало и блокировало почтовые рассылки, содержащие ссылки на вредоносные zip-файлы. Отличительной особенностью рассылок было использование правдоподобного текста писем, использующих текущую новостную и эмоциональную повестку, а также применение публичных сервисов для сокращения ссылок (например, bit.ly) для маскировки ссылок на вредоносные файлы. Атакующие кампании успешно детектировались, а вредоносные письма у компаний, защищенных решением Group-IB TDS, блокировались.
"Отсутствие прочного канала связи между организациями, противостоящим киберпреступности, а также сложная политическая ситуация приводят к появлению новых преступных групп, чувствующих себя в безопасности. Еще одним фактором, позволяющим киберпреступникам, зарабатывать на выкупе, является недооценка угрозы со стороны бизнеса и отсутствие средств защиты, позволяющих вовремя идентифицировать и нейтрализовать шифровальщика".

Рустам Миркасымов,
руководитель отдела исследования киберугроз Group-IB
Indicators of compromise
MD5:

e47a296bac49284371ac396a053a8488

2c6a9a38ace198ab62e50ab69920bf42

306978669ead832f1355468574df1680

94293275fcc53ad5aca5392f3a5ff87b

1e54c8bc19dab21e4bd9cfb01a4f5aa5

fc30e902d1098b7efd85bd2651b2293f

e0fe009b0b1ae72ba7a5d2127285d086

f30e4d741018ef81da580ed971048707

ac27db95366f4e7a7cf77f2988e119c2

30fdbf2335a9565186689c12090ea2cf

e1692cc732f52450879a86cb7dcfbccd

Registry paths:

HKCU:\Software\Classes\Registered

HKCU:\\Software\\Microsoft\\Windows\\Security

IPs and Domains:

136.244.67[.]59

95.179.252[.]217

45.61.138[.]170

5.181.156[.]84

rbcholding[.]press

broken-poetry-de86.nscimupf.workers[.]dev

calm-night-6067.bhrcaoqf.workers[.]dev

rough-grass-45e9.poecdjusb.workers[.]dev'

ksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]dev')

ksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]dev

wispy-surf-fabd.bhrcaoqf.workers[.]dev

noisy-cell-7d07.poecdjusb.workers[.]dev

wispy-fire-1da3.nscimupf.workers[.]dev

hello.tyvbxdobr0.workers[.]dev

curly-sound-d93e.ygrhxogxiogc.workers[.]dev

old-mud-23cb.tkbizulvc.workers[.]dev

На вебинаре 6 октября мы расскажем, какие техники, тактики и процедуры (TTPs) используют операторы TinyPosh, как обнаружить атаку на ранних стадиях и какие превентивные меры можно предпринять. Регистрируйтесь по ссылке.