Одной из жертв стала компания, которая занимается добычей полезных ископаемых.

Русскоязычная группа вымогателей OldGremlin провела две новые атаки на российские компании в конце марта, обыгрывая тему санкций и уход платежных систем Visa и Mastercard из России, сообщили в пресс службе Group-IB.

"Group-IB зафиксировала две новые атаки русскоязычной группы вымогателей OldGremlin на российские компании 22 и 25 марта. В первой рассылке от 22 марта вымогатели обыгрывают тему санкций и "полный уход" платежных систем Visa и Mastercard — письмо было написано от имени старшего бухгалтера известной российской финансовой организации. Для оформления новой банковской карты клиенту необходимо было изучить инструкцию и заполнить анкету. На самом деле письма содержали ссылки на вредоносный документ, расположенный в DropBox", — пояснили в компании.

Подозрительная рассылка была вовремя замечена системой для защиты инфраструктуры от целевых атак. Одна из жертв — российская компания, специализирующаяся на добыче полезных ископаемых — была оперативно предупреждена об угрозе, подчеркнули в компании. 25 марта была проведена новая рассылка с фейковым договором от имени известной консалтинговой компании, жертвами могли стать большое количество компаний, пояснили в Group-IB.

Впервые активность вымогателей из OldGremlin была выявлена аналитиками Group-IB весной 2020 года. Несмотря на то, что группа является русскоязычной, она активно атаковала российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта, напомнили в компании.

"Всего за два года "гремлины", по провели 13 кампаний по рассылке вредоносных писем. Самым "урожайным" оказался 2020 год — OldGremlin отправили 10 рассылок якобы от имени российского металлургического холдинга, белорусского завода "МТЗ", а также медиахолдинга РБК. Эксперты Group-IB предполагают, что новые рассылки могли заразить большое количество компаний, и в ближайшие месяцы злоумышленники без лишней спешки медленно и аккуратно будут продвигаться в их инфраструктуре, обходя "дефолтные" системы защиты", — считают в Group-IB.

Источник: securitylab