TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Cifrado de la información.

Descripción

El grupo de ciberdelincuentes llamado “OldGremlin” de origen ruso que recientemente comenzó a operar empezó a tener éxito en sus campañas de ransomware. Actualmente los ataques se han reportado en organizaciones de diferentes sectores de su mismo país y utilizan la técnica de “Spear phishing” para engañar a sus víctimas y hacer que descarguen programas maliciosos.

Este grupo empezó a tener actividad entre finales del mes de marzo y principios de abril de este año, y aprovecharon el COVID-19 para hacerse pasar por una institución autorreguladora y enviar correos electrónicos con recomendaciones sobre cómo organizar un entorno de trabajo seguro durante una pandemia, los atacantes incluían en el correo un programa malicioso llamado “TinyPosh” modificado y desarrollado por ellos.

En el mes de agosto realizaron un ataque con éxito hacia una compañía médica, donde enviaron un correo electrónico de phishing haciéndose pasar por el departamento de finanzas con el asunto de “Factura vencida”. El mensaje de correo electrónico contenía un archivo adjunto que al ser descargado por el usuario fue detectado y eliminado por “Windows Defender”, sin embargo, a pesar de lo anterior logró permanecer algún tiempo en el equipo, tiempo suficiente para generar persistencia en este.

El archivo descargado corresponde al código malicioso llamado “TinyNode”, una puerta trasera para obtener acceso remoto a la computadora de la víctima, con ello los atacantes lograron realizar un reconocimiento de la red, recopilar datos, y obtener credenciales de administrador de la red, e incluso crear una cuenta con privilegios en caso de ser bloqueados. Finalmente, después de 3 semanas de haber entrado a la red borraron las copias de seguridad de la organización y distribuyeron un programa llamado “TinyCryptor” en cientos de computadoras para cifrar la información y pedir un rescate de 50 mil dólares en bitcoins, los atacantes proporcionaron un correo alojado en “ProntonMail” para ser contactados.

Este grupo se diferencia a otros, debido a que ha generado un correo Spear phishing con gran creatividad, e incluso ha podido intercambiar información con las victimas sin levantar sospechas.

Los investigadores aseguran que este grupo ha tenido solo actividad en Rusia, sin embargo, se espera que comience a realizar ataques contra organizaciones de otras partes del mundo.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso(IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • e47a296bac49284371ac396a053a8488
    • 2c6a9a38ace198ab62e50ab69920bf42
    • 306978669ead832f1355468574df1680
    • 94293275fcc53ad5aca5392f3a5ff87b
    • 1e54c8bc19dab21e4bd9cfb01a4f5aa5
    • fc30e902d1098b7efd85bd2651b2293f
    • e0fe009b0b1ae72ba7a5d2127285d086
    • f30e4d741018ef81da580ed971048707
    • ac27db95366f4e7a7cf77f2988e119c2
    • 30fdbf2335a9565186689c12090ea2cf
    • e1692cc732f52450879a86cb7dcfbccd
  • IP:
    • 59.136.244[.]67
    • 95.179.252[.]217
    • 45.61.138[.]170
    • 5.181.156[.]84
  • Dominios:
    • broken-poetry-de86.nscimupf.workers[.]dev
    • calm-night-6067.bhrcaoqf.workers[.]dev
    • rough-grass-45e9.poecdjusb.workers[.]dev’
    • ksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]dev’)
    • ksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]dev
    • wispy-surf-fabd.bhrcaoqf.workers[.]dev
    • noisy-cell-7d07.poecdjusb.workers[.]dev
    • wispy-fire-1da3.nscimupf.workers[.]dev
    • hello.tyvbxdobr0.workers[.]dev
    • curly-sound-d93e.ygrhxogxiogc.workers[.]dev
    • old-mud-23cb.tkbizulvc.workers[.]dev

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Concientizar al personal de las organizaciones respecto a este tipo de campañas.

Referencias