Маскирующиеся под РБК хакеры потребовали $50 тысяч в криптовалюте

Крупная медицинская компания из РФ стала жертвой атаки преступной группы OldGremlin. Злоумышленники потребовали $50 тысяч в криптовалюте за расшифровку данных корпоративной сети. Об этом сообщают специалисты Group-IB.

Троян проник в сеть компании через фишинговое письмо, написанное якобы от имени журналиста из медиахолдинга РБК.

«Атакующие использовали самописный бэкдор TinyNode, который позволяет скачивать и запускать вредоносные программы. С его помощью злоумышленники получили удаленный доступ к зараженному компьютеру жертвы, через который продолжили продвижение по сети организации», – рассказали в Group-IB.

Спустя несколько недель злоумышленники удалили резервные копии организации для невозможности восстановления данных. С того же сервера они распространили вирус-шифровальщик TinyCryptor на сотни компьютеров корпоративной сети и потребовали выкуп в криптовалюте.

«В среде киберпреступников негласно запрещено работать с российскими компаниями, но состоящая из русскоязычных хакеров OldGremlin активно атакует именно их — банки, промышленные предприятия, медицинские организации и разработчиков софта», – отметили специалисты.

Первая атака OldGremlin была зафиксирована в конце марта – начале апреля 2020 года. По оценкам экспертов Group-IB, с весны 2020 года OldGremlin провела минимум девять кампаний по рассылке вредоносных писем якобы от имени Союза микрофинансовых организаций «МиР», российского металлургического холдинга, «Минского Тракторного Завода», стоматологической клиники, медиахолдинга РБК и других.

Ранее ForkLog сообщал, что операторы биткоин-вымогателя LockBit опубликовали похищенные данные жителей США.