21/10/2022    

BOLETÍN NRO 2022-605

Las víctimas de estos ciberdelincuentes incluyen empresas de sectores como la logística, el inmobiliario, el desarrollo de software y finanzas, según los investigadores de seguridad. En el año 2020, el grupo incluso apuntó a un fabricante de armas. Estos ciberdelincuentes a menudo aparentan ser empresas conocidas, como el grupo de medios de comunicación RBC, el sistema de asistencia jurídica Consultant Plus, la empresa 1C-Bitrix, la Unión Rusa de Industriales y Empresarios y Minsk Tractor Works.
Este ransomware busca establecer una conexión mediante la creación de tareas programadas, la obtención de privilegios elevados utilizando Cobalt Strike e incluso aprovechando algunas vulnerabilidades en Cisco, también obtiene acceso remoto a la infraestructura comprometida utilizando herramientas como TeamViewer.

La oleada de phishing más reciente de OldGremlin se produjo el 23 de agosto de 2022, con correos electrónicos que incluían enlaces que apuntaban a un payload de un archivo ZIP alojada en Dropbox para iniciar el ataque.
Estos archivos, a su vez, albergan un archivo LNK falso (llamado TinyLink) que descarga un backdoor llamado TinyFluff, que es uno de los malwares empleado por los ciberdelincuentes, antes de borrar las copias de seguridad de los datos y lanzar el ransomware TinyCrypt basado en .NET. Otros malwares usados son:
TinyPosh es un troyano PowerShell diseñado para recopilar y transferir información sensible sobre el sistema infectado a un servidor remoto y el cual lanza scripts PowerShell adicionales.
TinyNode es un backdoor que ejecuta el intérprete NodeJS para ejecutar comandos recibidos de un servidor de comando y control (C2) a través de la red Tor.
TinyFluff es una variante de TinyNode, que se emplea para descargar y ejecutar scripts maliciosos.
TinyShot utilidad de consola para capturar pantallas.
Otra aplicación usada por OldGremlin en sus ataques es una aplicación de consola .NET llamada TinyIsolator, que corta temporalmente la conexión del host con la red, desactivando de esta manera los adaptadores de red antes de ejecutar el ransomware.
Además, el malware del grupo incluye una versión para Linux de TinyCrypt, que está desarrollado en el lenguaje de programación GO y se activa después de eliminar los archivos .bash_history y modificar las credenciales de los usuarios para limitar el acceso, incluso en algunas ocasiones desactiva el SSH.
 

Indicadores de Compromiso

IP

192[.]248[.]176[.]138

46[.]101[.]113[.]161

161[.]35[.]41[.]9

HASH

MD5: b59b53c35f03cff659f848297bcf3314

SHA256: 4682a66efa7c79ab56dfdfc1bba5cf001d380d516ff1b64acea0b53784fde8cc

MD5: fc763a77dffdbbc62d256524cd4808d9

SHA256: 476852e3257631d6ac2882237cfa146dcaefe17a10a11b984aec5cc9b61d48d4

MD5: 64db43f22430e75716aacd7ca13bbac6

SHA256: f1102cceed4e6529f8c5b1bf387b798bfba727b49c4a7442b19c392335291cab

MD5: e8fce013184401fb8d6e248fc91b4f9e

SHA256: 0a0889330501ee52ca5fe2b2f41fbcad7d26afce8bc430c7fe274e6ebe64c680

MD5: 858d14841bc1cc90e8e24a51aca814e1

SHA256: f36305e01515b73607f0f8941d9093fabe1b7a7e3f90c18f137403a0f016cdff