I ricercatori di Group-IB hanno pubblicato i dettagli su un nuovo ransomware utilizzato in 16 attacchi negli ultimi due anni e mezzo. Le particolarità di OldGremlin sono due. È uno dei pochi usati da cybercriminali russi per colpire aziende russe. Inoltre è stato sviluppato per i sistemi Linux (la maggioranza dei ransomware è compatibile solo con Windows). I riscatti possono raggiungere cifre piuttosto elevate.
OldGremlin: ransomware per Linux e riscatti record
Solitamente gli attacchi ransomware sono effettuati da cybercriminali russi contro aziende, organizzazioni e governi occidentali (anche contro l’Ucraina dopo l’inizio della guerra). I target di OldGremlin sono invece aziende russe che operano in diversi settori, tra cui logistica, finanza, assicurazioni, retail e software. Il riscatto maggiore chiesto nel 2021 è stato 4,2 milioni di dollari. La somma ha raggiunto i 16,9 milioni di dollari nel 2022.
La tattica usata per entrare nei computer delle vittime è simile a quella usata da altri gruppi di cybercriminali. Dopo aver scelto i bersagli viene inviata una email di phishing che contiene informazioni apparentemente legittime, come documenti finanziari o proposte commerciali. Le vittime sono quindi invitate a scaricare un allegato da un servizio di file sharing o cliccare su un link.
OldGremlin è una variante per Linux (scritta in linguaggio Go) del ransomware TinyCrypt per Windows. I file vengono cifrati con l’algoritmo AES a 256 bit. I cybercriminali utilizzano una serie di tool per l’accesso iniziale, la scansione del sistema, il furto dei dati, la distribuzione del ransomware e l’aggiramento delle protezioni antivirus. Solitamente OldGremlin rimane nascosto per circa 49 giorni, prima di avviare la cifratura dei file.