Поделиться
Возвращение OldGremlin: кибергруппа вымогателей возобновила атаки на российские компании
Исследователи «Лаборатории Касперского» зафиксировали новые кибератаки группы вымогателей OldGremlin на российские компании в первой половине 2025 г. С действиями злоумышленников столкнулись восемь крупных отечественных предприятий, главным образом промышленных. В число новых целей OldGremlin также вошли организации из сфер здравоохранения, ретейла и ИТ. Об этом CNews сообщили представители «Лаборатории Касперского».
Что известно про OldGremlin. Кибергруппа вымогателей OldGremlin, которая была идентифицирована пять лет назад, использует сложные техники, тактики и процедуры. Злоумышленники могут долго находиться в системе жертвы — в среднем около 49 дней — прежде чем зашифровать файлы. Ранее OldGremlin была активна в 2020-2022 гг. и последний раз замечена в 2024 г. В прошлом она требовала крупные выкупы, в одном из случаев — почти $17 млн.
Чем отличаются атаки 2025 г. В текущей кампании злоумышленники обновили набор инструментов для атак. С их помощью они в том числе эксплуатировали уязвимость в легитимном драйвере, чтобы отключить защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов. Также группа начала «брендировать» свои кибератаки: в сообщениях с требованием выкупа она использовала OldGremlins — немного измененное имя, которое ранее ей присвоили исследователи.
Как действует группа. Чтобы проникнуть в компьютеры жертв и зашифровать данные, злоумышленники рассылают фишинговые письма и используют несколько вредоносных инструментов. Бэкдор помогает атакующим получить удалённый доступ и управлять заражёнными устройствами. Чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, группа эксплуатирует уязвимость в легитимном драйвере. Это позволяет OldGremlin запустить программу-вымогатель. В новой кампании вредонос не просто блокирует файлы, но и может транслировать злоумышленникам актуальный статус. Последний, четвёртый, инструмент оставляет жертве сообщение с требованием выкупа, удаляет следы вредоносной активности и отключает устройство от сети на время шифрования — это усложняет дальнейшее исследование инцидента.
«Злоумышленники вернулись с усовершенствованным инструментарием — это в очередной раз подчеркивает, как важно компаниям постоянно следить за техниками и тактиками атакующих, чтобы в будущем не стать жертвой их действий. В 2025 г. группа не только возобновила свою деятельность — она взяла себе имя, данное ранее специалистами по кибербезопасности, таким образом публично заявив о себе», — сказал Янис Зинченко, эксперт по кибербезопасности в «Лаборатории Касперского».
Для защиты от программ-шифровальщиков «Лаборатория Касперского» рекомендует организациям: регулярно обновлять ПО на всех корпоративных устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть; в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете, особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети; создавать резервные копии данных офлайн, в которые атакующие не смогут внести изменения, важно убедиться, что к ним можно быстро получить доступ при необходимости либо в случае инцидента; использовать комплексные защитные решения уровня EDR и XDR, например из линейки Kaspersky Symphony; предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence.
Поделиться
Короткая ссылка
