OldGremlin勒索软件针对数十个俄罗斯实体的数百万计划

一个讲俄语的勒索软件集团被称为老格列姆林在两年半的时间里，有16起针对在横贯欧亚大陆国家运营的实体的恶意活动。

“该集团的受害者包括物流、工业、保险、零售、房地产、软件开发和银行等行业的公司，”IB集团在与黑客新闻分享的一份详尽报告中表示。“2020年，该组织甚至瞄准了一家武器制造商”。

在勒索软件领域中，OldGremlin（又名TinyScouts）是极少数以俄罗斯公司为主要目标的具有财务动机的网络犯罪团伙之一。

其他著名的组织包括达尔玛、克里洛克和塔诺斯，2021针对该国企业的勒索软件攻击上升了两倍多。

2020年9月，总部位于新加坡的网络安全公司披露了这位演员在5月至8月期间策划的9场活动，奥德格雷姆林首次曝光。第一次袭击是在2020年4月初发现的。

据说该组织在2020年总共进行了10次网络钓鱼电子邮件活动，随后在2021进行了一次非常成功的攻击，在2022年又进行了5次，赎金要求达到创纪录的1690万美元。

IB组解释道：“OldGremlin彻底研究了他们的受害者”。“因此，要求的赎金通常与公司的规模和收入成正比，明显高于确保适当的信息安全水平所需的预算”。

众所周知，OldGremlin发起的攻击主要针对Windows上运行的企业网络，利用冒充税务和法律服务公司的钓鱼电子邮件，诱骗受害者点击欺诈链接并下载恶意文件，让攻击者在网络中蠕动。

IB集团表示：“威胁行为体通常是知名公司，包括媒体集团RBC、法律援助系统顾问Plus、1C Bitrix公司、俄罗斯工业家和企业家联盟以及明斯克拖拉机厂”。

在初步站稳脚跟后，OldGremlin开始通过创建计划任务、使用Cobalt Stroke获得提升的权限，甚至在Cisco AnyConnect（CVE-220-3153和CVE-220-30433）中出现漏洞，建立持久性，同时还使用TeamViewer等工具远程访问受损的基础设施。

让船员们从其他勒索软件集团中脱颖而出的一些方面是，他们不依赖双重勒索来强迫目标公司支付费用，尽管他们已经过滤了数据。人们还观察到，每次攻击成功后，它都会休息很长时间。

更重要的是，勒索软件部署前的平均停留时间为49天，远高于报告的11天平均停留时间，这表明行为方在检查被破坏的域（这是通过一个名为TinyScout的工具实现的）方面付出了更大的努力。

OldGremlin最近的钓鱼浪潮发生在2022年8月23日，电子邮件嵌入指向Dropbox上托管的ZIP存档有效载荷的链接，以激活killchain。

反过来，这些归档文件中有一个流氓LNK文件（称为TinyLink），在删除数据备份和删除基于.NET的TinyCrypt勒索软件之前，该文件下载了一个名为Tiny Fluff的后门，TinyFluff是该组织使用的四种植入物之一：TinyPosh、TinyNode和TinyShell。

• TinyPosh：一个PowerShell特洛伊木马，旨在收集有关受感染系统的敏感信息并将其传输到远程服务器，并启动其他PowerShell脚本。
• TinyNode：运行节点的后门。js解释器来执行通过Tor网络从命令和控制（C2）服务器接收的命令。
• TinyFluff：TinyNode的后续版本，它被用作接收和运行恶意脚本的主要下载程序。

OldGremlin还使用了其他工具，如TinyShot，一个用于捕获屏幕截图的控制台工具，TinyKiller，它通过针对gdrv的自带易受攻击驱动程序（BYOVD）攻击来杀毒进程。sys和RTCore64.sys驱动程序。

值得注意的是，BlackByte勒索软件集团背后的运营商最近也被发现利用RTCore64.sys驱动程序中的相同漏洞关闭被黑客攻击机器中的安全解决方案。

OldGremlin在其攻击中使用的另一个不寻常的应用程序是一个名为TinyIsolator的.NET控制台应用程序，它在执行勒索软件之前通过禁用网络适配器来暂时切断主机与网络的连接。

除此之外，该组织的恶意软件库包括Linux版本的TinyCrypt，它是用GO编写的，在删除.bash_history文件、更改用户密码以限制对受威胁主机的访问以及禁用SSH后启动。

IB集团动态恶意软件分析团队负责人Ivan Pisarev表示：“OldGremlin揭穿了勒索软件集团对俄罗斯公司漠不关心的神话”。

“尽管OldGremlin到目前为止一直专注于俄罗斯，但在其他地方也不应低估他们。许多讲俄语的团伙一开始以后苏联地区的公司为目标，然后转向其他地区”。