Kelompok peretas OldGremlin berulah dengan ransomware

techind
21 Oct, 2022
Gambar : Anonim
OldGremlin merupakan sebagian dari banyaknya kelompok Ransomware yang melakukan aksi dengan menyerang perusahaan Rusia,termasuk bank, perusahaan industri dan perusahaan medis. Kelompok ini sudah mulai beraksi sejak Maret 2020 dengan menggunakan Ransomware hasil pengembangannya sendiri.

Mereka mengandalkan sekumpulan tool, termasuk menyusup lewat pintu belakang yang disebut TinyPosh dan TinyNode. Selain itu mereka menggunakan email spear-phishing rumit yang memanfaatkan umpan yang terus berkembang dari rekomendasi pandemi virus corona palsu hingga permintaan palsu untuk wawancara media.

Pertama kali para peneliti mendeteksi keberadaan kelompok ini pada bulan Agustus, ketika menargetkan sebuah perusahaan medis besar yang tidak disebutkan namanya dengan email spear-phishing yang dimaksudkan untuk dikirim oleh perusahaan induk media RBC.

Ternyata email itu adalah serangan ransomware yang di bundel kedalam pesan oleh OldGremlin untuk mengenkripsi seluruh jaringan perusahaan perusahaan dan meminta tebusan $50.000. Kelompok OldGremlin menargetkan organisasi Rusia lainnya, yang menurut para peneliti adalah larangan besar dalam komunitas peretas Rusia.

“Menurut perkiraan ahli Group-IB, sejak musim semi, OldGremlin telah melakukan setidaknya tujuh kampanye phishing,” kata peneliti dengan Group-IB dalam posting hari Rabu . “Para peretas telah meniru organisasi pengaturan mandiri Mikrofinansirovaniye i Razvitiye (SRO MiR); sebuah perusahaan induk metalurgi Rusia; pabrik Belarusia Minsk Tractor Works; klinik gigi; dan perusahaan induk media RBC.”

Metode serangan OldGremlin

Dalam hal ini, OldGremlin melakukan serangan dengan mengirim email spear-phishing dengan arsip ZIP terlampir, dengan subjek "Tagihan jatuh tempo" dan mengaku sebagai departemen keuangan RBC. Setelah korban mengklik arsip .ZIP, malware khusus unik bernama TinyNode digunakan. TinyNode adalah bakcdoor yang ketika di unduh akan menyebarkan virus ransomware.

Setelah mendapatkan akses jarak jauh ke komputer korban, pelaku ancaman melakukan pengintaian jaringan, mengumpulkan data berharga dan menyebar ke seluruh jaringan, juga memanfaatkan kerangka Cobalt Strike untuk memastikan bahwa setiap aktivitas pasca-eksploitasi seefektif mungkin.

Awal kemunculan OldGremlin

Para peneliti mengatakan bahwa kegiatan pertama OldGremlin dimulai antara akhir Maret dan awal April. Grup ini memanfaatkan pandemi COVID-19 dalam umpan awal (tema umum untuk jenis ransomware selama periode ini, seperti yang terlihat pada [F]Unicorn ransomware ), mengirimkan rekomendasi yang dimaksudkan kepada lembaga keuangan tentang cara mengatur lingkungan kerja yang aman selama pandemi, dan meniru organisasi pengaturan mandiri Mikrofinansirovaniyei Razvitiye (SRO MiR).

initechind
Artikel di tulis oleh

Putri Rahmawati

Terimakasih telah membaca tulisan saya di blog initechind. Salam Ghost Writers dan Keyboard Kreatif.

Lihat karya lainya

Next Post Previous Post