OldGremlin, Rus kuruluşlarını hedef almasıyla tanınan ve geniş çaplı bir multi-milyon kampanya başlatan kötü şöhretli bir fidye yazılımı grubudur. Hedefleri Rus kuruluşlarıve grup karşılığında büyük fidye talep ediyor. Çetenin kurbanları arasında sigorta, lojistik, perakende, yazılım geliştirme, emlak ve bankacılık sektörleri yer alıyor.
Group-IB’nin bir raporuna göre, OldGremlin fidye yazılımı çetesi, Rusça konuşan bir fidye yazılımı çetesidir ve 2020’den beri oldukça aktiftir ve son iki buçuk yılda bu çeteye yaklaşık on altı kötü niyetli kampanya atfedilmiştir. Bunların hepsi Rus örgütlerini hedef aldı.
TinyScouts olarak da bilinir; OldGremlin, finansal olarak motive olmuş birkaç siber suç grubundan biridir (diğer gruplar şunları içerir: Crylock, Dharmave Thanos), öncelikle Rus varlıklarına odaklanıyor.
OldGremlin fidye yazılımı çetesi şimdiye kadar tümü 2020’de başlatılan on kimlik avı e-posta kampanyası, 2021’de başarılı bir fidye yazılımı saldırısı ve 2022’de beş saldırı gerçekleştirdi. Fidye talepleri nispeten daha yüksekti. Hatta bazı durumlarda grup 16,9 milyon dolar istedi ve yaklaşık 30 milyon dolar yasadışı gelir elde etti.
İlk çıkış yılı olan 2020’de çete peş peşe mikro finans firmaları, bir traktör üreticisi, bir metal ve madencilik firması ve ticari medya holding firmalarını hedef alan onlarca kampanya gerçekleştirdi.
“Bu nedenle talep edilen fidye genellikle şirketin büyüklüğü ve geliri ile orantılıdır ve uygun düzeyde bilgi güvenliği sağlamak için gereken bütçeden açıkça daha yüksektir.”
Grup-IB
Kampanya Ayrıntıları
Group-IB’ye göre basın bülteni, OldGremlin, Linux sistemleri için yeni bir kötü amaçlı yazılım geliştirdi. Grup, ağlara sızmak için medya grubu RBC, Rus Sanayiciler Birliği, 1C-Bitrix veya hukuki yardım sağlayıcı Consultant Plus gibi tanınmış firmalar olarak poz veriyor kimlik avı e-postaları yoluyla.
Grup, bir kimlik avı e-postası aracılığıyla ilk başarıya ulaşmayı başarır ve aşağıdakiler gibi araçları dağıtır: kobalt grevi yanal hareket için. Zamanlanmış görevlerin oluşturulması ve artırılmış ayrıcalıkların elde edilmesi yoluyla kalıcılık sağlar.
Ayrıca Cisco AnyConnect’teki (CVE-2020-3153 ve CVE-2020-3433) ve TeamViewer gibi araçları kullanarak hedeflenen altyapıya uzaktan erişim sağlar. Bu yapıldıktan sonra grup, yaklaşık 49 gün boyunca kurbanın ağının içinde kalır ve ardından fidye yazılımını başlatır.
Kurbanlar, bu süre zarfında etkili bir kötü amaçlı yazılım algılama çözümü kullanarak tehdidi kontrol altına alabilir. Group-IB, OldGremlin fidye yazılımına atanan en son kimlik avı dalgasının 23 Ağustos 2022’de meydana geldiğini ve kimlik avı e-postalarının, öldürme zincirini etkinleştirmek için Dropbox’ta barındırılan bir ZIP arşiv yüküne bağlantılar yerleştirdiğini kaydetti.
Sonuç olarak, arşiv dosyaları bir arka kapıyı (TinyFluff) indirmek için sahte bir LNK dosyası (TinyLink) başlatır. Ayrıca grup, veri yedeklerini silmeden önce TinyFluff’ın yanı sıra TinyPosh, TinyShell, TinyNode gibi diğer implantları kullanır. Ardından .NET tabanlı TinyCrypt fidye yazılımını başlattı.
Grup, Rus kuruluşlarına odaklanmış olsa da, Group-IB bir süre sonra coğrafi sınırlarını genişletebileceğini kaydetti.
Alakalı haberler
- Yeni DDoS Kötü Amaçlı Yazılım ‘Kaos’ Linux ve Windows Cihazlarını Vuruyor
- Çin APT Grubu Tarafından Hedeflenen Windows, Linux ve macOS Kullanıcıları
- DDoS Uygulaması Ukraynalı Aktivistlerin Rusya Virüslü Telefonlarını Vurmayı Amaçlıyor
- Başkan Putin’in Ekonomik Forumu Konuşması DDoS Saldırısı Nedeniyle Ertelendi
- Federaller, Milyonlarca IoT Cihazı Tarafından Desteklenen Rus Rsocks Botnet’i Söküyor