Как украсть миллиард: вымогатели из группы OldGremlin поставили рекорд 2022 года по сумме требуемого выкупа

Group-IB, один из мировых лидеров в сфере кибербезопасности, выпустила первый аналитический отчет «OldGremlin. Анализ атак группы вымогателей, нацеленных на российский бизнес», посвященный русскоговорящей хакерской группировке вымогателей. Всего за два с половиной года «гремлины», по данным Group-IB, провели 16 вредоносных кампаний с целью получения выкупа за расшифровку данных. Второй год подряд вымогатели бьют рекорд: если в 2021 году группа требовала у жертвы 250 млн руб. за восстановление доступа к данным, то в 2022 году их ценник поднялся до 1 млрд руб. На данный момент известно, что OldGremlin атакует исключительно российские цели, однако аппетиты группировки потенциально могут иметь более широкую географию.

Как и всегда, отчет Group-IB открывает доступ к набору данных и подробной информации об актуальных техниках, тактиках и процедурах атакующих (TTPs), описанных на основе MITRE ATT&CK™. Этот отчет будет полезен как организациям, которые борются с киберпреступностью, и в частности, руководителям команд кибербезопасности, SOC-аналитикам, специалистам по реагированию на инциденты, так и потенциальным жертвам для того, чтобы обезопасить свою инфраструктуру от новых атак OldGremlin.

Несмотря на молниеносный рост угрозы атак шифровальщиков на международном рынке, бизнес в России долгое время считал себя непривлекательной целью для этой угрозы. Однако в 2021 год опроверг это устоявшееся мнение: количество кибератак вымогателей на российские компании увеличилось более чем на 200%. Одним из заметных и наиболее «жадных» вымогателей, атакующим на данный момент исключительно российские компании стала группа, получившая название OldGremlin.
Активность OldGremlin (aka TinyScouts) была впервые замечена аналитиками Group-IB Threat Intelligence в марте 2020 года и подробно описана в сентябре 2020 года в блоге «Большая охота OldGremlin: операторы шифровальщика атакуют крупные компании и банки России». Всего за два с половиной года OldGremlin, по данным Group-IB, провели 16 кампаний по рассылке вредоносных писем по российским организациям.

Самым насыщенным для «гремлинов» оказался 2020 год — вымогатели отправили десять рассылок якобы от имени микрофинансовых организаций, металлургического холдинга, белорусского завода «МТЗ», а также медиахолдинга РБК. В 2021 году была проведена всего одна, но крайне успешная кампания от имени «Ассоциации интернет-торговли», в 2022 году — уже пять — якобы от сервисов «Консультант Плюс», «1С-Битрикс», платежной системы и др.
Рассылки «гремлинов» четко нацелены на определенные отрасли. Среди их жертв — банки, логистические, промышленные и страховые компании, а также ритейлеры, девелоперы, компании, специализирующиеся на разработке программного обеспечения. В 2020 году группа атаковала даже один из оружейных заводов России.

По оценкам экспертов Group-IB, средняя сумма требуемого выкупа OldGremlin составляет около 100 млн рублей, а максимальная сумма требуемого выкупа — это рекорд по России в 2022 году — достигла 1 млрд руб. В отличии от других групп вымогателей — участников «Big Game Hunting» — охоты на крупную цель, «гремлины» после проведения успешной атаки могут позволить себе длительные отпуска.

Как и большинство «классических» вымогателей, специализирующихся на атаках на корпоративные сети, для получения первоначального доступа OldGremlin использовали фишинговые письма. Актуальная повестка и тема рассылок (пандемия, удаленная работа, антироссийские санкции) в сочетании с качественно подготовленным текстом писем в виде запроса на интервью, коммерческого предложения или финансового документа, позволяла злоумышленникам без особого труда заставить получателей перейти по ссылкам и загрузить вредоносные файлы. Массовый характер рассылки позволял атакующим скомпрометировать рабочие станции сразу несколько сотрудников, что упрощало развитие атаки внутри сети жертвы.

Несмотря на то, что в основном OldGremlin нацелены на корпоративные сети под управлением OC Windows, последние атаки показали, что в их арсенале есть и программа-вымогатель, разработанная для ОС Linux. Атакующие следят за последними тенденциями в мире кибербезопасности и «миксуют» новые уязвимости и методы проведения атак с проверенными временем инструментами, например, Cobalt Strike и проекты с открытым исходным кодом (например, PowerSploit). В качестве способа повышения привилегий в ходе реагирований на инциденты была выявлена эксплуатация уязвимостей в Cisco AnyConnect. Для своих атак «гремлины» разработали целый Tiny-framework и активно развивали его от кампании к кампании.

В среднем «гремлины» проводят в сети жертвы 49 дней перед тем, как развернуть в сети программу-вымогатель, что делает актуальными не только реактивные, но и проактивные методы обнаружения киберугроз, отсекающие возможность заражения программой-шифровальщиком через канал электронной почты и других.

В исследовании, построенном на результатах реагирований на инциденты экспертами Лаборатории цифровой криминалистики Group-IB и Threat Intelligence, подробно проанализированы все 16 кампаний группы и впервые приведен полный цикл атаки (Kill Chain) «гремлинов», начиная с фишинговых рассылок и первоначального получения доступа и заканчивая шифрованием, и требованием выкупа у жертвы.

Источник: Group-IB
Скачать отчет