Il gruppo di cybercriminali noto come Crypt Ghouls ha recentemente attirato l'attenzione per una serie di attacchi informatici rivolti a imprese e agenzie governative russe. Questi attacchi utilizzano ransomware come LockBit 3.0 e Babuk con l'obiettivo di interrompere le operazioni aziendali e ottenere profitti finanziari. Le vittime includono agenzie governative, nonché aziende nei settori minerario, energetico, finanziario e retail situate in Russia.
Il toolkit di Crypt Ghouls comprende una gamma di strumenti come Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk e PsExec. Questi strumenti vengono utilizzati per accedere ai sistemi delle vittime e per estrarre dati sensibili. Il vettore di intrusione iniziale è stato identificato in alcuni casi, dove gli attaccanti hanno utilizzato le credenziali di accesso di un appaltatore per connettersi ai sistemi interni tramite VPN. Queste connessioni VPN provenivano da indirizzi IP associati alla rete di un provider di hosting russo e alla rete di un appaltatore, suggerendo un tentativo di passare inosservati sfruttando relazioni di fiducia.
Dopo aver ottenuto l'accesso iniziale, gli attaccanti utilizzano utility come NSSM e Localtonet per mantenere l'accesso remoto. La fase successiva prevede l'uso di strumenti come XenAllPasswordPro per raccogliere dati di autenticazione, il backdoor CobInt e Mimikatz per estrarre le credenziali delle vittime. Ulteriori strumenti come dumper.ps1 e MiniDump sono impiegati per estrarre credenziali di accesso dalla memoria del sistema, mentre PingCastle è utilizzato per la ricognizione della rete. L'accesso remoto è facilitato da AnyDesk e resocks SOCKS5 proxy.
Gli attacchi si concludono con la crittografia dei dati di sistema utilizzando versioni pubblicamente disponibili di LockBit 3.0 per Windows e Babuk per Linux/ESXi. Inoltre, gli attaccanti prendono misure per crittografare i dati presenti nel Cestino per impedire il recupero. Gli attaccanti lasciano una nota di riscatto con un link contenente il loro ID nel servizio di messaggistica Session per futuri contatti.
La scelta degli strumenti e delle infrastrutture da parte di Crypt Ghouls in questi attacchi si sovrappone a campagne simili condotte da altri gruppi che hanno preso di mira la Russia negli ultimi mesi. È stato osservato che i criminali informatici sfruttano credenziali compromesse, spesso appartenenti a subappaltatori, e strumenti open-source popolari. Questo rende difficile identificare i gruppi specifici di hacktivisti coinvolti, suggerendo che gli attuali attori non solo condividono conoscenze, ma anche i loro toolkit.