Proseguono attacchi hacker nei confronti della Russia, stavolta per opera del gruppo OldGremlin, specializzato in ransomware. Questo gruppo è fra i meno noti, probabilmente anche perché non è particolarmente attivo. Infatti, agli attacchi in massa, OldGremlin preferisce perpetrare attacchi sporadici e molto mirati, sfruttando delle competenze particolarmente avanzate. Il gruppo indirizza i propri attacchi esclusivamente alle aziende russe e pare che sia arrivato a chiedere a una delle proprie vittime ben 3 milioni di dollari come riscatto. Gli attacchi più recenti sono stati condotti attraverso due campagne di phishing a fine marzo. Non sono ancora note le vittime.
Tuttavia, l'azienda di cyber-sicurezza Group-IB di Singapore sostiene che almeno una delle due sia una compagnia mineraria russa. Inoltre, sembra che OldGremlin abbia adottato una tattica già adoperata in passato per ottenere l'accesso ai sistemi bersaglio sfruttando argomenti di attualità. Infatti, secondo Group-IB, il gruppo avrebbe inviato delle mail da un presunto contabile senior di un'organizzazione finanziaria russa, avvertendo le vittime circa le conseguenze delle sanzioni imposte alla Federazione Russa, nella fattispecie il possibile blocco dei sistemi di gestione dei pagamenti Visa e MasterCard.
Le vittime erano quindi indirizzate a un documento archiviato su Dropbox che, una volta aperto, scaricava una backdoor nota come TinyFluff. A sua volta, la backdoor avviava l'interprete Node.js offrendo agli hacker l'accesso remoto al sistema bersaglio. TinyFluff si basa su TinyNode, una backdoor già usata in attacchi precedenti. I ricercatori hanno riscontrato due varianti di TinyFluff, che ormai sono riconosciute da oltre 20 motori di antivirus tramite Virus Total.
In ogni caso, una volta compromessa una rete, OldGremlin poteva prendersi anche diversi mesi prima di passare all'azione, e una volta iniziato l'attacco, il gruppo implementava TinyCrypt/TinyCryptor un payload ransomware creato proprio dai suoi membri.
Ancora una volta, viene violata la "legge non scritta" per cui gli attacchi ransomware non devono essere indirizzati a bersagli sul territorio russo, tra l'altro la qualità delle e-mail di phishing usate da OldGremlin denota una notevole conoscenza sia dell'ambiente che della lingua russa, come sottolineato dai ricercatori stessi.
