Крупная медицинская компания с сетью региональных филиалов стала жертвой русскоязычной хакерской группировки OldGremlin, сообщили в компании по кибербезопасности Group-IB. Атака началась с фишингового письма, написанного якобы от медиахолдинга РБК. В письме содержался «зловред», позволяющий злоумышленникам получить удаленный доступ к компьютеру жертвы. Спустя несколько недель после начала атаки хакеры распространили в корпоративной сети организации вирус-шифровальщик и удалили резервные копии организации для того, чтобы лишить ее возможности восстановления данных. Таким образом, работа региональных подразделений компании была парализована, а за расшифровку данных злоумышленники потребовали $50 тыс. в криптовалюте.
По данным Group-IB, группировка OldGremlin начала атаки на российские организации с конца марта: злоумышленники рассылали фишинговые письма по финансовым организациям, а также атаковали стоматологическую клинику и металлургические компании. Кроме того, во время пандемии злоумышленники рассылали по организациям финансового сектора фейковое письмо от имени журналистки РБК, которая назначала жертве 30-минутное интервью. Специально для проведения атаки хакеры создали календарь, в котором и назначали встречу жертве. Открытие ссылки в письме приводило к тому, что на машину жертвы загружался троян, уточняют в Group-IB.