02/09/25
Исследователи «Лаборатории Касперского» зафиксировали новые кибератаки группы вымогателей OldGremlin на российские компании в первой половине 2025 года. С действиями злоумышленников столкнулись 8 крупных отечественных предприятий, главным образом промышленных. В число новых целей OldGremlin также вошли организации из сфер здравоохранения, ретейла и ИТ.
Что известно про OldGremlin. Кибергруппа вымогателей OldGremlin, которая была идентифицирована пять лет назад, использует сложные техники, тактики и процедуры. Злоумышленники могут долго находиться в системе жертвы — в среднем около 49 дней — прежде чем зашифровать файлы. Ранее OldGremlin была активна в 2020-2022 гг. и последний раз замечена в 2024 году. В прошлом она требовала крупные выкупы, в одном из случаев — почти 17 млн долларов США.
Чем отличаются атаки 2025 года. В текущей кампании злоумышленники обновили набор инструментов для атак. С их помощью они в том числе эксплуатировали уязвимость в легитимном драйвере, чтобы отключить защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов. Также группа начала «брендировать» свои кибератаки: в сообщениях с требованием выкупа она использовала OldGremlins — немного изменённое имя, которое ранее ей присвоили исследователи.
Как действует группа. Чтобы проникнуть в компьютеры жертв и зашифровать данные, злоумышленники рассылают фишинговые письма и используют несколько вредоносных инструментов. Бэкдор помогает атакующим получить удалённый доступ и управлять заражёнными устройствами. Чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, группа эксплуатирует уязвимость в легитимном драйвере. Это позволяет OldGremlin запустить программу-вымогатель. В новой кампании вредонос не просто блокирует файлы, но и может транслировать злоумышленникам актуальный статус. Последний, четвёртый, инструмент оставляет жертве сообщение с требованием выкупа, удаляет следы вредоносной активности и отключает устройство от сети на время шифрования — это усложняет дальнейшее исследование инцидента.
«Злоумышленники вернулись с усовершенствованным инструментарием — это в очередной раз подчёркивает, как важно компаниям постоянно следить за техниками и тактиками атакующих, чтобы в будущем не стать жертвой их действий. В 2025 году группа не только возобновила свою деятельность — она взяла себе имя, данное ранее специалистами по кибербезопасности, таким образом публично заявив о себе», — комментирует Янис Зинченко, эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» детектируют вредоносное ПО как Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og and HEUR:Trojan-Ransom.Win64.Generic.
Для защиты от программ-шифровальщиков «Лаборатория Касперского» рекомендует организациям:
- регулярно обновлять ПО на всех корпоративных устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть;
- в рамках стратегии защиты сосредоточиться на обнаружении горизонтального перемещения, а также утечек данных в интернете. Особенно внимательно стоит отслеживать исходящий трафик, чтобы своевременно выявить подключение злоумышленников ко внутренней сети;
- создавать резервные копии данных офлайн, в которые атакующие не смогут внести изменения. Важно убедиться, что к ним можно быстро получить доступ при необходимости либо в случае инцидента;
- использовать комплексные защитные решения уровня EDR и XDR, например из линейки Kaspersky Symphony;
- предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence.
