Hackargruppen OldGremlin attackerar Ryssland

av | apr 17, 2022 | Säkerhet

OldGremlin är en relativt okänd hackargrupp som är känd för avancerade och sofistikerade attacker.Gruppen har få attacker som tillskrivs dem, runt fem sedan 2021, och nu finns tecken som tyder på att de är aktiva igen med attacker riktade mot ryska intressen.

OldGremlin använder inte ransomware och slår inte ut system med överbelastningsattacker utan använder egenutvecklade bakdörrar som installeras i sårbara system. Bakdörrar som sedan används för att ta sig in och stjäla information. Därefter kommer krav på lösensummor för att informationen inte ska säljas eller publiceras. Vid tidigare attacker har gruppen krävt stora summor, upp mot tre miljoner dollar för att offren ska få tillbaka sin information.

Phishing

Den senaste OldGremlin-aktiviteten består av två nätfiskekampanjer som startade i slutet av mars 2022. Det är för tidigt att bedöma hur många företag som kampanjen riktades mot men säkerhetsforskare säger att minst ett ryskt företag inom gruvsektorn kan ha fått sina system penetrerade. Säkerhetsexperter vid det Singapore-baserade säkerhetsföretaget Group-IB säger att OldGremlin den här gången utgav sig för att vara revisor på en rysk finansiell organisation och varnade för att de nyligen införda sanktionerna mot Ryssland skulle avbryta verksamheten för betalningshanteringssystemen Visa och Mastercard.

Hello,

We, at [bortplockat namn], have received reliable information about new sanctions in the next couple of days. The Visa/Mastercard payment system will be shut down completely. All cards issued in our country will no longer work.

Everyone must therefore urgently issue [bortplockat] cards and link them to their bank payroll.
Use the following instructions [länk] for the following banks: [bortplockat namn]

Fill out the form (see attachment) and send it back, making sure to specify the bank branch at which it is convenient for you to pick up the bank card.

Remember that if you want to link a card to a payroll, you must inform the accounting department of the account details after receiving the card. Please sign and send the form to our email address within 5 (five) hours from the moment you receive this email. For the purposes of efficiency, please send it in this email thread chain.

[bortplockat namn]
Senior Accountant at [bortplockat namn]

En så kallad phishingkampanj, nätfiske, går ut på att skicka ut till synes äkta brev till ett sort antal mottagare med förhoppningen om att någon ska klicka på länkar eller följa instruktionerna – och därigenom ladda ned och installera exempelvis en mjukvara som installerar en bakdörr. I brevet ovan är alla namn och länkar bortplockade av säkerhetsskäl.

Bakdörren

I fallet ovan så var meddelandet länkat till ett dokument med skadlig kod som lagrats på DropBox. Koden innehäll en känd bakdörr som ger angripare möjlighet att kunna fjärrstyra och ta över en sårbar dator. Den mjukvara som användes vid denna attack är en nyare, uppdaterad version av mjukvara som OldGremlin använt tidigare. Mjukvaran och tillvägagångssättet tillsammans med en del andra digitala spår gör att attacken kopplas till OldGremlin.

Tilläggas bör att OldGremlin tidigare alltid attackerat just ryska företag och organisationer. Det finns alltså ingenting som talar för att gruppen återupptagit sin kriminella verksamhet som ett stöd för Ukrainas sak i det pågående kriget. OldGremlin har snarare sett en möjlighet att utnyttja det pågående läget för sina egna syften.

Group-IB

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: