Крупная медицинская компания из РФ стала жертвой атаки преступной группы OldGremlin. Злоумышленники потребовали $50 тысяч в криптовалюте за расшифровку данных корпоративной сети. Об этом сообщают специалисты Group-IB.
Троян проник в сеть компании через фишинговое письмо, написанное якобы от имени журналиста из медиахолдинга РБК.
«Атакующие использовали самописный бэкдор TinyNode, который позволяет скачивать и запускать вредоносные программы. С его помощью злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, через который продолжили продвижение по сети организации», – рассказали в Group-IB.
Спустя несколько недель злоумышленники удалили резервные копии организации для невозможности восстановления данных. С того же сервера они распространили вирус-шифровальщик TinyCryptor на сотни компьютеров корпоративной сети и потребовали выкуп в криптовалюте.
«В среде киберпреступников негласно запрещено работать с российскими компаниями, но состоящая из русскоязычных хакеров OldGremlin активно атакует именно их — банки, промышленные предприятия, медицинские организации и разработчиков софта», – отметили специалисты.
Первая атака OldGremlin была зафиксирована в конце марта – начале апреля 2020 года. По оценкам экспертов Group-IB, с весны 2020 года OldGremlin провела минимум девять кампаний по рассылке вредоносных писем якобы от имени Союза микрофинансовых организаций «МиР», российского металлургического холдинга, «Минского Тракторного Завода», стоматологической клиники, медиахолдинга РБК и других.
Ранее ForkLog сообщал, что операторы биткоин-вымогателя LockBit https://forklog.com/operatory-bitkoi...zhitelej-ssha/похищенные данные жителей США.