Les cybercriminels russophones ont habituellement un code de conduite vis-à-vis des entreprises compatriotes : ils ne les attaquent tout simplement pas. Cependant, le gang de ransomware OldGremlin constitue un contre-exemple.

Ce groupe cible des organisations en Russie depuis le printemps 2020 et a récemment mené des campagnes qui exploitent les sanctions frappant actuellement le pays.

Selon Julien Fournier, VP Southern Europe chez Netskope, ces cyberattaques font suite aux sanctions imposées aux entreprises russes à cause du contexte géopolitique :

« Ces hackers profitent que plusieurs fournisseurs de solutions de sécurité ont suspendu leurs opérations en Russie, pour tirer profit de la surface d’attaque des cibles qui s’est trouvée élargie en conséquence.

Ainsi, ils ont perpétré en mars dernier des campagnes malveillantes, avec un e-mail de phishing comme vecteur d'attaque initial, invitant les victimes à remplir un formulaire pour demander une nouvelle carte bancaire du fait de la suspension des opérations Visa et Mastercard en Russie.

Le formulaire présumé est en réalité un document Office malveillant hébergé sur Dropbox qui, une fois exécuté, charge un modèle hébergé de nouveau sur Dropbox. Cette campagne mise sur une porte dérobée, appelée TinyFluff, que les attaquants utilisent pour contrôler l’appareil compromis afin de collecter, voler et télécharger des fichiers.

Une fois de plus, les cybercriminels ont donc exploité un service cloud, à priori de confiance, pour diffuser du contenu malveillant. Ils profitent également de la situation géopolitique qui rend les organisations et les individus plus vulnérables.

Il ne s’agit pas de la seule campagne récente qui parvient à ses fins via Dropbox. Ainsi, des hackers ont aussi ciblé le secteur bancaire africain via le malware RemcosRAT, propagé à l’aide de Dropbox et OneDrive.

Curieusement, dans cette deuxième campagne, la charge utile n’a pas été opérée par un service cloud, mais livrée grâce à GuLoaderdownloader et la technique du HTML smuggling. »