Se ha publicado la noticia de que un grupo de ciberdeluncuentes denominado OldGremlin ha sido el propietario de dirigir varias campañas de ransomware en año y medio.
OldGremlim, conocida también como TinyScouts, es un grupo de ciberdelincuentes con objetivos mayormente financieros que comenzó sus actos en el 2020.
Desde entonces el grupo se ha atribuido más de 15 campañas de ciberataques cuya demanda máxima de rescate ha alcanzado un récord de 16.9 millones de dólares este año.
Esto suele deberse a que los delincuentes estudian a fondo a sus víctimas y adaptan el rescate pedido al nivel económico de la entidad objetivo.
La investigación ha sido realizada por al empresa de seguridad informática “Group-IB”.
Esta empresa ha compartido un informe con el ransomware en los años 2021-2022.
El informe destaca que el objetivo de estos ciberdelincuentes son compañas de logística seguros, desarrollo y banca.
Otro resultado notable es que casi todos los objetivos son centralizados en empresas rusas, dato que van teniendo en común con otros ciberdelincuentes como Dharma, Crylock y Thanos.
Ataque de OldGremlin
El ataque suele comenzar con una distribución de correos electrónicos haciéndose pasar por entidades importantes e instar a la descarga de archivos fraudulentos.
Después elevan privilegios en las máquinas infectadas aprovechando vulnerabilidades de Cobal Strike o fallas de Cisco AnyConnect.
Recopilación de datos durante una gran ventana de tiempo, que suele ser de unos 50 días.
Los principales archivos de los que se compone el ataque son los siguientes:
TinyLink: Fichero de descarga falso.TinyPosh: Scrip de PoerShell de recopilación y transferencia de información confidencial.TinyNode: Puerat trasera con intérprete de Node.js que hace de C2.TinyFluff: Sucesor de TinyNode que hace de C2.TinyShell: Script para la emliminación de datos.TinyCrypt: Script de cifrado basado en .NET.
Estructuración del ataque
Aunque como se ha comentado antes, afectan principalmente a entidades rusas, los investigadores de seguridad informan de que este hecho es meramente táctico y que la expansión a otros lugares pueda efectuarse en cualquier momento.
También se señala que el objetivo principal suelen ser máquinas con Windows, pero no deja de ser meramente técnico, ya que es donde se ejecutan el mayor número de máquinas.
Los ciberdelincuentes tienen desarrollado su versión de TinyCrypt escrito en GO que afecta a máquinas con entornos Linux.
Más información:
* Gremlins’ prey, secrets, and dirty tricks: the ransomware gang OldGremlin set new records
https://www.group-ib.com/media-center/press-releases/oldgremlin-2022/
* Descarga del estudio de «Group-IB»
https://www.group-ib.com/resources/threat-research/ransomware-2022.html
* Las herramientas más usadas por los atacantes para el control remoto en 2020: Cobalt Strike, Metasploit y PupyRat
https://unaaldia.hispasec.com/2021/01/las-herramientas-mas-usadas-por-los-atacantes-para-el-control-remoto-en-2020-cobalt-strike-metasploit-y-pupyrat.html
La entrada OldGremlin vuelve al tablero de la ciberdelincuencia se publicó primero en Una al Día.
