Le gang de rançongiciels OldGremlin cible la Russie avec un nouveau malware

OldGremlin ransomware attacks Russian companies via new TinyFluff malware

OldGremlin, un acteur de menace peu connu qui utilise ses compétences particulièrement avancées pour mener des campagnes sporadiques soigneusement préparées, a fait son retour le mois dernier après une interruption de plus d’un an.

Le groupe se distingue des autres opérations de ransomware par le petit nombre de campagnes – moins de cinq depuis début 2021 – qui ne ciblent que les entreprises en Russie et l’utilisation de portes dérobées personnalisées construites en interne.

Bien qu’il soit moins actif, ce qui peut suggérer que l’activité des rançongiciels est plus proche du travail au noir, OldGremlin a exigé des rançons pouvant atteindre 3 millions de dollars à l’une de ses victimes.

Hameçonnage soigneusement préparé

L’activité la plus récente d’OldGremlin consiste en deux campagnes de phishing lancées vers la fin du mois de mars 2022. Il est trop tôt pour évaluer le nombre d’entreprises ciblées, mais les chercheurs en sécurité affirment qu’au moins une entreprise russe du secteur minier figure sur la liste des victimes.

L’adversaire ne s’est pas éloigné de sa tactique précédemment observée pour obtenir un accès initial et a profité des sujets d’actualité à la mode.

Les chercheurs en sécurité de la société de cybersécurité basée à Singapour Group-IB affirment que cette fois, OldGremlin s’est fait passer pour un comptable principal d’une organisation financière russe avertissant que les récentes sanctions imposées à la Russie suspendraient les opérations des systèmes de traitement des paiements Visa et Mastercard.

Hello,
We, at [masked], have received reliable information about new sanctions in the next couple of days. The Visa/Mastercard payment system will be shut down completely. All cards issued in our country will no longer work.

Everyone must therefore urgently issue [masked] cards and link them to their bank payroll.
Use the following instructions [hyperlink] for the following banks: [masked]

Fill out the form (see attachment) and send it back, making sure to specify the bank branch at which it is convenient for you to pick up the bank card.

Remember that if you want to link a card to a payroll, you must inform the accounting department of the account details after receiving the card.
Please sign and send the form to our email address within 5 (five) hours from the moment you receive this email. For the purposes of efficiency, please send it in this email thread chain.

[masked],
Senior Accountant at [masked]

Nouvelle porte dérobée personnalisée

L’e-mail dirigeait le destinataire vers un document malveillant stocké dans un stockage Dropbox qui télécharge une porte dérobée appelée TinyFluff, qui lance l’interpréteur Node.js et donne à l’attaquant un accès à distance au système cible.

TinyFluff est une nouvelle variante d’une ancienne porte dérobée, TinyNode, le gang utilisé lors d’attaques passées. L’image ci-dessous montre les chaînes d’infection des deux campagnes OldGremlin de cette année les 22 et 25 mars :

Chaîne d'infection OldGremlin de la campagne de mars 2022
Chaîne d’infection OldGremlin mars 2022 (surce : Groupe-IB)

Grouper-IB les chercheurs ont découvert deux variantes de TinyFluff, une version antérieure plus complexe et une nouvelle version simplifiée qui copie le script et l’interpréteur Node.js à partir de son emplacement de stockage au 192.248.176[.]138.

«Nous pensons que la première version, plus complexe, de TinyFluff était brute. C’est pourquoi le gang a simplifié l’outil afin de pouvoir l’utiliser à la volée. Cependant, ils l’amélioreront très probablement pour de nouvelles attaques » – Équipe Group-IB Threat Intelligence

Les deux variantes de la porte dérobée sont actuellement détectées par plus de 20 moteurs antivirus sur la plateforme d’analyse Virus Total.

Dans un rapport partagé avec EZpublish-france.fr, Group-IB fournit des indicateurs de compromission et un analyse technique détaillée des outils utilisés par OldGremlin dans les deux campagnes de phishing déployées le mois dernier.

Après avoir planté la porte dérobée, OldGremlin passe à l’étape de reconnaissance, vérifiant si l’application s’exécute dans un environnement de test.

Les commandes pour cette étape de l’attaque sont fournies en texte clair, ce qui permet aux chercheurs de les examiner à l’aide d’un renifleur de trafic.

  • collecter des informations sur le système/appareil infecté
  • obtenir des informations sur les lecteurs connectés
  • lancement du shell cmd.exe, exécution d’une commande et envoi de la sortie au serveur de commande et de contrôle (C2)
  • obtenir des informations sur les plugins installés dans le système
  • obtenir des informations sur les fichiers dans les répertoires spécifiques sur le lecteur système
  • terminer l’interpréteur Node.js

OldGremlin peut passer des mois à l’intérieur du réseau compromis avant de déployer la dernière étape de l’attaque : fournir TinyCrypt/TinyCryptor, la charge utile de ransomware personnalisée du groupe.

Tout comme pour les attaques de rançongiciels d’autres gangs, la victime reçoit une note de rançon qui fournit un contact pour joindre l’acteur de la menace pour les négociations de paiement.

Note de rançon OldGremlin
Note de rançon OldGremlin de 2020 (source : Group-IB)

Group-IB a déclaré à EZpublish-france.fr qu’OldGremlin avait chiffré au moins trois entreprises depuis que les chercheurs ont commencé à suivre le gang en 2020.

Bien que ce nombre soit insignifiant par rapport aux attaques d’autres gangs de ransomwares, les chercheurs notent qu’OldGremlin passe toute l’année à récolter les bénéfices des quelques campagnes qu’ils lancent.

En 2021, le gang n’a déployé qu’une seule campagne de phishing, mais cela a suffi à les occuper toute l’année, car cela leur a fourni un accès initial au réseau de plusieurs entreprises.

Group-IB affirme que ce n’est qu’une question de temps pour qu’un plus grand nombre de victimes d’OldGremlin, en dehors de la société minière russe ciblée, soient découvertes cette année à la suite de l’activité de phishing du groupe en mars.

Sur la base des preuves qu’ils ont trouvées et après avoir analysé la qualité des e-mails de phishing et des documents leurres, les chercheurs évaluent qu’OldGremlin compte des membres russophones.

Ils ont décrit la connaissance que le groupe a du paysage russe comme « étonnante ».

En se concentrant uniquement sur les entreprises russes (banques, entreprises industrielles, organisations médicales et développeurs de logiciels), OldGremlin enfreint la règle tacite de ne pas attaquer les entités sur les territoires russes.

Le rapport de Group-IB sur les récentes campagnes OldGremlin, y compris l’analyse technique des attaques et les indicateurs de compromis est disponible sur le site web de l’entreprise.