Исследователи «Лаборатории Касперского» зафиксировали новые кибератаки группы вымогателей OldGremlin на российские компании в первой половине 2025 года. С действиями преступников столкнулись 8 крупных отечественных предприятий, главным образом промышленных. В число новых целей OldGremlin также вошли организации из сфер здравоохранения, ретейла и ИТ.
Кибергруппа вымогателей OldGremlin, которая была идентифицирована пять лет назад, использует трудные техники, тактики и процедуры. Злоумышленники могут долго находиться в системе жертвы - в среднем около 49 дней - когда уже зашифровать файлы. Ранее OldGremlin была активна в 2020-2022 гг. и последний раз замечена в 2024 году. В минувшем она требовала крупные выкупы, в каком-то из случаев - почти 17 млн долл.
В текущей кампании преступники обновили набор приборов для атак. При их помощи они в том числе эксплуатировали уязвимость в легитимном драйвере, чтобы отключить защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов. Также группа начала «брендировать» свои кибератаки: в известьях с требованием выкупа она использовала OldGremlins - немножко изменённое имя, которое ранее ей присвоили исследователи.
Чтобы проникнуть в компьютеры жертв и зашифровать данные, преступники рассылают фишинговые письма и используют несколько вредоносных инструментов. Бэкдор помогает нападающим получить удалённый доступ и управлять заражёнными устройствами. Чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, группа эксплуатирует уязвимость в легитимном драйвере. Это позволяет OldGremlin запустить программу-вымогатель. В новой кампании вредонос не просто блокирует файлы, но и многие может транслировать злодеям актуальный статус.
Последний, четвёртый, инструмент оставляет жертве известье с требованием выкупа, устраняет следы вредоносной активности и отключает устройство от сети на время шифрования - это усложняет последующее исследование инцидента.
Фото: Freepik