Компания Group-IB опубликовала расследование инцидента, который произошел с российской медицинской компанией — злоумышленники полностью зашифровали ее ценные данные и потребовали выкуп за расшифровку в размере 50 тыс. долл. По данным компании атаку совершила группа под названием OldGremlin, в которую предположительно входят в том числе и русскоязычные участники. С марта по август этого года Group-IB зафиксировала как минимум 9 волн рассылок вредоносных писем якобы от имени известных организаций: Союза микрофинансовых организаций “МиР”, российского металлургического холдинга, белорусского завода “МТЗ”, стоматологической клиники, медиахолдинга РБК и др., целью которых становились исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчики программного обеспечения.
Одной из наиболее удачных атак группы стала массовая рассылка, которая была совершена в августе этого года от имени «журналистки» медиахолдинга РБК. Её жертвой стала крупная медицинская компания с сетью региональных филиалов, в корпоративную сеть которой злоумышленникам удалось установить вредоносное ПО TinyNode, которое позволило им удаленно управлять компьютером жертвы. С его помощью хакеры постарались проникнуть глубже в корпоративную сеть, используя для этого инструмент для проведения пентестов Cobalt Strike Beacon и средства восстановления почтовых паролей Mail PassView от компании NirSoft. В результате, им удалось проникнуть достаточно глубоко внутрь корпоративной сети, поскольку спустя несколько недель после начала атаки хакеры удалили все резервные копии данных компании и в один из выходных дней за несколько часов распространили свой шифровальщик TinyCrypt на сотни компьютеров корпоративной сети. В результате атаки работа региональных подразделений медицинской компании была полностью парализована.
“OldGremlin — это единственная на данный момент активная русскоязычная группа-оператор шифровальщика, которая несмотря на негласный запрет «работает по РУ» и совершает многоступенчатые целевые атаки на российские компании и банки, используя сложные, как у APT, тактики и техники, — прокомментировал ситуацию Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. — По аналогии с группами, которые “работают” по иностранным целям, OldGremlin можно отнести к категории Big Game Hunting (Охота на крупную дичь), которая объединяет операторов шифровальщиков, нацеленных на крупную добычу”.
Впрочем, российское происхождение группа заслужила только потому, что ее почтовые рассылки написаны на хорошем русском языке, хотя составить их вполне могут и граждане Украины, Канады и даже США. Более того, письма на хорошем русском можно заказать, например, на сайте https://freelance.ru/ — достаточно зарегистрировать от имени РБК. На такое вполне способны спецслужбы любого государства, например, ЦРУ, о секретных кибероперациях которого стало известно в июле этого года — мы об этом писали в нашем дайджесте. Часто хакеры, чтобы прикрыть свои темные делишки, по завершении операции просто уничтожают данные, но если за это можно еще и извлечь прибыль в виде 50 тыс. долл., то почему бы и нет? А поскольку операции были начаты в момент начала карантина — в марте, а в качестве инструмента были использованы неизвестные ранее инструменты — TinyNode, TinyPosh и TinyPosh, то создается ощущение, что атака была проверкой защищенности нашей медицинской отрасли, как одной и относящихся к действию закона «О безопасности КИИ».
