La compañía internacional Group-IB, especializada en prevenir ciberataques, ha detectado un ataque exitoso del grupo criminal OldGremlin a una compañía médica rusa, así como a varias organizaciones financieras, dijo el servicio de prensa de Group-IB a TASS.
Se señaló que en agosto del 2020, durante la investigación del incidente, los especialistas en Inteligencia de Amenazas de Group-IB conocieron los detalles de un ataque exitoso de un grupo criminal llamado OldGremlin. Una gran empresa médica con una red de sucursales regionales se convirtió en víctima de piratas informáticos. El ataque comenzó con una carta de phishing supuestamente del holding de medios RBC.
«Según lo establecido por Group-IB, en la etapa inicial, los atacantes utilizaron un exclusivo TinyNode de puerta trasera autoescrito, que actúa como un cargador de arranque principal que le permite descargar y ejecutar otros programas maliciosos. Con su ayuda, los atacantes obtuvieron acceso remoto a la computadora infectada de la víctima, que actuó como un trampolín para la recopilación de datos y un mayor avance a través de la red de la organización», explicó Group-IB.
Varias semanas después de que comenzara el ataque, los atacantes eliminaron las copias de seguridad de la organización para imposibilitar la recuperación de datos. En un día de fin de semana, propagaron su virus ransomware TinyCryptor desde el mismo servidor a cientos de computadoras en la red corporativa en solo unas pocas horas. Como resultado del ataque, el trabajo de las divisiones regionales de la empresa se paralizó: los atacantes exigieron 50.000 dólares en criptomonedas para descifrar los datos.
Según estimaciones de Group-IB, desde esta primavera, OldGremlin ha realizado al menos 9 campañas para enviar correos electrónicos maliciosos.