Big Game Hunting - теперь и в России

Group-IB зафиксировала успешную атаку новой преступной группы OldGremlin на российскую медицинскую компанию — злоумышленники полностью зашифровали ее корпоративную сеть и потребовали выкуп в $50 000. Несмотря на негласный запрет в среде киберпреступников «не работать по РУ», OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки и финансовые компании, промышленные предприятия, медицинские организации. Начиная с весны этого года OldGremlin, по оценкам экспертов Group-IB, провела как минимум 9 кампаний по рассылке вредоносных писем якобы от имени микрофинансовых организаций, российского металлургического холдинга, белорусского завода "МТЗ", стоматологической клиники, юридической фирмы, а также медиахолдинга РБК.

Одна из ключевых тенденций 2020 года — точечные атаки операторов программ-вымогателей в Европе, США и Азии на корпоративные сети компаний с десятками тысяч компьютеров и оборотами в миллиарды долларов. За дешифровку, как это было в случае с атакой на Honda или Garmin, атакующие просят выплатить миллионы долларов, но даже заплатив выкуп, жертва часто не может восстановить свои данные. Эксперты называют подобный подход киберпреступников к выбору целей Big Game Hunting ("Охота на крупную дичь"). При том, что большая часть русскоязычных операторов вирусов-шифровальщиков "не работают по РУ" — не атакуют российские банки, финансовые компании, промышленные предприятия, а работают исключительно по зарубежным целям, Group-IB обнаружила новую преступную группу, которая рискнула переступить эти негласные запреты.

В августе этого года Group-IB cтали известны подробности первой удачной атаки преступной группы OldGremlin. Ее жертвой стала крупная медицинская компания с сетью региональных филиалов, а сама атака началась с фишингового письма, написанного якобы от медиахолдинга РБК.

Как установили аналитики Group-IB Threat Intelligence, на первоначальном этапе, атакующие использовали уникальный самописный бэкдор TinyNode, выполняющий функцию первичного загрузчика, который позволяет скачивать и запускать другие вредоносные программы. Фактически злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, который может дальше использоваться как плацдарм для разведки, сбора данных и дальнейшего продвижения по сети организации. Как и многие другие группы, для эффективной пост-эксплуатации OldGremlin использовали инструмент для пентестеров Cobalt Strike Beacon.

После того, как атакующие провели разведку и убедились в том, что они находятся в домене именно той организации, в которую целились, они продолжили движение по сети, получив в итоге аутентификационные данные учетной записи администратора домена, и даже создали дополнительную учетку с аналогичными правами на случай, если основная будет заблокирована.

Резервное копирование в данном случае не помогло. Спустя несколько недель после начала атаки злоумышленники удалили резервные копии организации и прямо с того же сервера в один из выходных дней за несколько часов распространили свой вымогатель TinyCryptor на сотни компьютеров корпоративной сети.

Когда на следующий день сотрудники вышли на работу, на экранах их компьютеров появилась надпись: «Ваши файлы зашифрованы, для расшифровки обратитесь …». Ниже был указан почтовый ящик на сервисе ProtonMail, каждый раз создаваемый под новую кампанию. В результате атаки работа региональных подразделений компании была парализована — за расшифровку злоумышленники потребовали $50 000 в криптовалюте.

Первая атака OldGremlin, по данным Group-IB Threat Intelligence, была зафиксирована в конце марта - начале апреля 2020 года. Используя актуальную тему с COVID-19, злоумышленники от имени Союза микрофинансовых организаций "МиР", разослали по финансовым организациям рекомендации по организации безопасной работы в период пандемии. Именно тогда впервые атакующими был использован самописный троян TinyPosh. Вторая атака произошла 24 апреля — схема была примерно та же, что и в первый раз, но отправителем выступала стоматологическая клиника "Новадент".

Две недели спустя Old Gremlin решили сменить тактику. Они подготовили фейковое письмо от имени российской журналистки РБК, которая якобы приглашала получателей принять участие в неком «Всероссийском исследовании банковского и финансового сектора во время пандемии коронавируса». В отличие от первых писем, сообщение от корреспондента РБК было довольно точно подделано под рассылку медиахолдинга и написано хорошим русским языком.

"Журналистка" назначала потенциальной жертве (банку) 30-минутное интервью: специально для проведения атаки хакеры создали календарь, в котором и назначали встречу жертве. После этого жертве было отправлено повторное письмо, в нем "журналист" сообщала, что якобы «выгрузила вопросы в облако» и ждет ответов на них. Повторное письмо хакеры направляли, чтобы удостовериться, что получатель у них на крючке – он заинтересован, прочитал письмо и перешел по ссылке. Для большей убедительности в каждом письме фигурировала имя крупного иностранного вендора в сфере кибербезопасности, сервисы которого якобы проверяли письмо – так OldGremlin окончательно усыпляли внимание атакуемого.

Как и в первых почтовых рассылках, открытие ссылки в письме приводило к тому, что на машину жертвы загружался троян TinyPosh. Он обеспечивал закрепление в системе, получал права учетной записи, из-под которой запускался троян, и мог по команде от управляющего сервера загружать и запускать другие программы, в нашем случае — Cobalt Strike Beacon. Для сокрытия реального командного сервера хакеры использовали сервер CloudFlare Workers.

После непродолжительных "каникул" группа снова выходит на "охоту" — 13 и 14 августа 2020 CERT-GIB зафиксировал две масштабных рассылки вредоносным писем от имени российского медиахолдинга РБК и металлургической компании. За двое суток преступники разослали около 250 вредоносных писем — целью атаки являлись российские компании из финансовых и производственных отраслей. В отличие от кейса с "журналисткой" (ее имя совпадает с реально работающим корреспондентом РБК) , среди отправителей значатся несуществующие сотрудники.

Уже через несколько дней киберпреступники меняют письмо-приманку, взяв на вооружение главную тему русскоязычных СМИ — белорусские протесты. Утром 19 августа команда CERT-GIB зафиксировала вредоносную рассылку по российским финансовым организациям от имени "Минского Тракторного Завода" (ОАО МТЗ). Опасные письма — всего их было более полусотни — выявила и нейтрализовала система предотвращения сложных киберугроз Threat Detection System (TDS) Group-IB.

Отправителем письма значилась некая Алеся Владимировна (в других письмах - Волохина А.В.) гендиректор/исполнительный директор МТЗ, хотя предприятие возглавляет абсолютно другой человек — Виталий Вовк. Темой для рассылки киберпреступники выбрали протесты и забастовки в РБ: «Увы, порядка недели назад в МТЗ Холдинг нагрянула проверка прокуратуры. Понятное дело, эти события происходят потому, что мы объявили забастовку Лукашенко». Далее в письме получателей просят перейти по ссылке, скачать архив и прислать недостающие документы для проверки.

На самом деле, как выяснили аналитики CERT-GIB, после попытки открытия приложенного к письму файла на компьютер загружается и устанавливается все та же вредоносная программа —- бэкдор TinyPosh, которая по команде от управляющего сервера позволяет скачивать и запускать другие вредоносные программы.