OldGremlin Ransomware 在数百万计划中针对十几个俄罗斯实体

在两年半的时间里，一个名为OldGremlin的俄语勒索软件组织被归咎于针对在这个跨大陆欧亚国家运营的实体的 16 次恶意活动。

“该集团的受害者包括物流、工业、保险、零售、房地产、软件开发和银行等行业的公司，”Group-IB在与 The Hacker News 分享的一份详尽报告中表示。“在 2020 年，该组织甚至针对一家武器制造商。”

在勒索软件领域中，OldGremlin（又名 TinyScouts）是少数几个主要针对俄罗斯公司的以经济为动机的网络犯罪团伙之一。

其他值得注意的群体包括 Dharma、Crylock 和 Thanos，导致 2021 年针对该国企业的勒索软件攻击增加了 200% 以上。

OldGremlin 于 2020 年 9 月首次曝光，这家总部位于新加坡的网络安全公司披露了该演员在 5 月至 8 月期间策划的九项活动。第一次攻击是在 2020 年 4 月上旬发现的。

据称，该组织在 2020 年总共进行了 10 次网络钓鱼电子邮件活动，随后在 2021 年进行了一次非常成功的攻击，在 2022 年又进行了五次，赎金要求达到创纪录的 1690 万美元。

“OldGremlin 彻底研究了他们的受害者，”Group-IB 解释道。“因此，要求的赎金通常与公司的规模和收入成正比，显然高于确保适当信息安全水平所需的预算。”

众所周知，OldGremlin 发起的攻击主要针对在 Windows 上运行的企业网络，它利用伪装成税务和法律服务公司的网络钓鱼电子邮件来欺骗受害者点击欺诈性链接并下载恶意文件，从而使攻击者能够在网络中蠕虫。

“威胁行为者通常伪装成知名公司，包括媒体集团 RBC、法律援助系统 Consultant Plus、1C-Bitrix 公司、俄罗斯工业家和企业家联盟以及明斯克拖拉机厂，”Group-IB 说。

在获得初步立足点后，OldGremlin 开始通过创建计划任务、使用 Cobalt Stroke 获得提升的权限，甚至 Cisco AnyConnect 中的缺陷（CVE-2020-3153和CVE-2020-3433）来建立持久性，同时还可以远程访问使用 TeamViewer 等工具破坏基础设施。

使船员从其他勒索软件组织中脱颖而出的一些方面是，尽管窃取了数据，但它并不依赖双重勒索来强迫目标公司付款。还观察到每次成功攻击后都会长时间休息。

更重要的是，勒索软件部署之前的平均停留时间为 49 天，远高于报告的11 天中值停留时间，这表明部分参与者加大了检查被破坏域的力度（这是使用名为 TinyScout 的工具实现的） .

OldGremlin 最近的网络钓鱼浪潮发生在 2022 年 8 月 23 日，电子邮件嵌入了指向托管在 Dropbox 上的 ZIP 存档有效负载的链接，以激活杀伤链。

反过来，这些存档文件包含一个流氓 LNK 文件（称为 TinyLink），该文件会下载一个名为 TinyFluff 的后门，这是该组织使用的四个植入程序之一：TinyPosh、TinyNode 和 TinyShell，然后删除数据备份并删除 .基于 NET 的 TinyCrypt 勒索软件。

• TinyPosh：一种 PowerShell 特洛伊木马，旨在收集有关受感染系统的敏感信息并将其传输到远程服务器，并启动其他 PowerShell 脚本。
• TinyNode：运行 Node.js 解释器以执行通过 Tor 网络从命令和控制 (C2) 服务器接收到的命令的后门。
• TinyFluff：TinyNode 的继任者，用作接收和运行恶意脚本的主要下载器。

OldGremlin 还使用了其他工具，例如 TinyShot，一个用于捕获屏幕截图的控制台实用程序，TinyKiller，它通过针对 gdrv.sys 和 RTCore64.sys 驱动程序的自带易受攻击的驱动程序 (BYOVD) 攻击杀死防病毒进程。

值得注意的是，最近还发现 BlackByte 勒索软件组背后的运营商利用 RTCore64.sys 驱动程序中的相同缺陷来关闭被黑客入侵机器中的安全解决方案。

OldGremlin 在其攻击中使用的另一个不寻常的应用程序是一个名为 TinyIsolator 的 .NET 控制台应用程序，它通过在执行勒索软件之前禁用网络适配器来暂时切断主机与网络的连接。

最重要的是，该组织的恶意软件库包括一个 Linux 版本的 TinyCrypt，它是用 GO 编写的，并在删除 .bash_history 文件、更改用户密码以限制对受感染主机的访问以及禁用 SSH 后启动。

“OldGremlin 揭穿了勒索软件组织对俄罗斯公司漠不关心的神话，”Group-IB 动态恶意软件分析团队负责人 Ivan Pisarev 说。

“尽管到目前为止，OldGremlin 一直专注于俄罗斯，但在其他地方不应低估它们。许多讲俄语的团伙一开始就瞄准了后苏联地区的公司，然后转向其他地区。”