محققان امنیت سایبری، گروه جدیدی از مجرمان سایبری را شناسایی کرده اند که در حال تلاش هستند تا شبکه سازمان های بزرگی همچون شرکت های داروسازی، بانک ها، کارخانه ها و تولیدکنندگان نرم افزار در روسیه را هک کنند.
این گروه باجافزاری که با نام “OldGremlin” شناخته می شود، یک گروه روسی زبان است که مسئولیت اجرای چندین کمپین هکری مختلف از جمله حمله بر ضد یک آزمایشگاه تشخیص بالینی را بر عهده داشته است.
یک شرکت امنیت سایبری در گزارشی اعلام کرده که این گروه هم اکنون فقط شرکت های روسی را هدف حملات خود قرار داده است. البته در سال های گذشته نیز گروه های روسی زبان دیگری همچون Silence و Cobalt در هنگام آغاز حملات شان، از روسیه به عنوان یک هدف آزمایشی استفاده کرده بودند. سپس آنها از روسیه به سمت سایر نقاط جهان حرکت کردند تا احتمال شناسایی و دستگیری شان توسط پلیس کشورهای مورد هدف را کمتر کنند.
گروه OldGremlin با استفاده از درهای پشتی اختصاصی، اقدام به دانلود سایر پی لودهای مخرب با هدف رمزنگاری فایلهای سیستم که توسط باجافزار TinyCryptor آلوده شده اند می کند. پس از آلودگی سیستم های کاربران، تمامی فایل های موجود بر روی رایانه آنها را رمز کرده و درخواست حدود 50 هزار دلار باج از قربانیان خود می کند.
این گروه هکری همچنین برای نفوذ به شبکه ها اقدام به ارسال ایمیل فیشینگی با عنوان “Invoice” که در ظاهر انگار از طرف یک شرکت روسی ارسال شده است، به کارکنان شرکت های مورد نظر می کند. در این پیام، به گیرنده اطلاع داده میشود که آن شرکت دیگر قادر به برقراری تماس با همکار فرد قربانی برای ارسال یک صورتحساب فوری نبوده و از وی درخواست می شود بر روی لینک مخرب درج شده در ایمیل ارسالی کلیک کند. کلیک بر روی این لینک، موجب دانلود باج افزار TinyCryptor می شود.
آنگاه مهاجمان، به سیستم آلوده دسترسی پیدا کرده و با کمک بدافزار “Cobalt Strike” که به عنوان در پشتی از آن استفاده می شود، دادههای ادمین دامنه را جمع آوری می کنند.
در روش دیگری از این حمله که در اوایل شیوع بیماری کرونا مشاهده شد، مجرمان سایبری از این موضوع برای توزیع یک بدافزار سوءاستفاده میکردند. پس از آن نیز کمپین دیگری شناسایی شد که در آن مجرمان سایبری با سوءاستفاده از تظاهرات در بلاروس، پیامهای فیشینگ هدفمندی را بر ضد دولت روسیه ارسال می کردند. چنین اقدام هایی بار دیگر نشان داد که مهاجمان سایبری میتوانند از رویدادهای جهانی به نفع خودشان بهره برداری غیرمجاز کنند.
لازم به ذکر است بر اساس گزارش های منتشر شده، این گروه مجرمانه سایبری تاکنون 9 کمپین مختلف بدافزاری را اجرا کرده است.
منبع: thehackernews