Descripción
El grupo de ciberdelincuentes llamado “OldGremlin” de origen ruso que recientemente comenzó a operar empezó a tener éxito en sus campañas de ransomware. Actualmente los ataques se han reportado en organizaciones de diferentes sectores de su mismo país y utilizan la técnica de “Spear phishing” para engañar a sus víctimas y hacer que descarguen programas maliciosos.
Este grupo empezó a tener actividad entre finales del mes de marzo y principios de abril de este año, y aprovecharon el COVID-19 para hacerse pasar por una institución autorreguladora y enviar correos electrónicos con recomendaciones sobre cómo organizar un entorno de trabajo seguro durante una pandemia, los atacantes incluían en el correo un programa malicioso llamado “TinyPosh” modificado y desarrollado por ellos.
En el mes de agosto realizaron un ataque con éxito hacia una compañía médica, donde enviaron un correo electrónico de phishing haciéndose pasar por el departamento de finanzas con el asunto de “Factura vencida”. El mensaje de correo electrónico contenía un archivo adjunto que al ser descargado por el usuario fue detectado y eliminado por “Windows Defender”, sin embargo, a pesar de lo anterior logró permanecer algún tiempo en el equipo, tiempo suficiente para generar persistencia en este.
El archivo descargado corresponde al código malicioso llamado “TinyNode”, una puerta trasera para obtener acceso remoto a la computadora de la víctima, con ello los atacantes lograron realizar un reconocimiento de la red, recopilar datos, y obtener credenciales de administrador de la red, e incluso crear una cuenta con privilegios en caso de ser bloqueados. Finalmente, después de 3 semanas de haber entrado a la red borraron las copias de seguridad de la organización y distribuyeron un programa llamado “TinyCryptor” en cientos de computadoras para cifrar la información y pedir un rescate de 50 mil dólares en bitcoins, los atacantes proporcionaron un correo alojado en “ProntonMail” para ser contactados.
Este grupo se diferencia a otros, debido a que ha generado un correo Spear phishing con gran creatividad, e incluso ha podido intercambiar información con las victimas sin levantar sospechas.
Los investigadores aseguran que este grupo ha tenido solo actividad en Rusia, sin embargo, se espera que comience a realizar ataques contra organizaciones de otras partes del mundo.
Nivel de riesgo
- [Medio]
Sistemas/tecnologías afectadas:
- Sistemas Operativos Microsoft Windows.
Indicadores de compromiso(IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- MD5:
- e47a296bac49284371ac396a053a84
88 - 2c6a9a38ace198ab62e50ab69920bf
42 - 306978669ead832f1355468574df16
80 - 94293275fcc53ad5aca5392f3a5ff8
7b - 1e54c8bc19dab21e4bd9cfb01a4f5a
a5 - fc30e902d1098b7efd85bd2651b229
3f - e0fe009b0b1ae72ba7a5d2127285d0
86 - f30e4d741018ef81da580ed9710487
07 - ac27db95366f4e7a7cf77f2988e119
c2 - 30fdbf2335a9565186689c12090ea2
cf - e1692cc732f52450879a86cb7dcfbc
cd
- e47a296bac49284371ac396a053a84
- IP:
- 59.136.244[.]67
- 95.179.252[.]217
- 45.61.138[.]170
- 5.181.156[.]84
- Dominios:
- broken-poetry-de86.nscimupf.
workers[.]dev - calm-night-6067.bhrcaoqf.
workers[.]dev - rough-grass-45e9.poecdjusb.
workers[.]dev’ - ksdkpwprtyvbxdobr0.tyvbxdobr0.
workers[.]dev’) - ksdkpwpfrtyvbxdobr1.
tiyvbxdobr1.workers[.]dev - wispy-surf-fabd.bhrcaoqf.
workers[.]dev - noisy-cell-7d07.poecdjusb.
workers[.]dev - wispy-fire-1da3.nscimupf.
workers[.]dev - hello.tyvbxdobr0.workers[.]dev
- curly-sound-d93e.ygrhxogxiogc.
workers[.]dev - old-mud-23cb.tkbizulvc.
workers[.]dev
- broken-poetry-de86.nscimupf.
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
- Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
- Concientizar al personal de las organizaciones respecto a este tipo de campañas.
Referencias