Среди жертв — промышленные компании, медицинские организации и ИТ-сектор.
Исследователи «Лаборатории Касперского» о возобновлении атак группы вымогателей OldGremlin на российские компании. В первой половине 2025 года под удар попали восемь крупных предприятий, главным образом из промышленного сектора. В число новых жертв также вошли организации из сфер здравоохранения, ритейла и ИТ.
Группа OldGremlin была впервые зафиксирована пять лет назад. Она известна сложными техниками и длительным скрытым присутствием в сетях жертв — в среднем около 49 дней до запуска программы-вымогателя. Ранее группа активно действовала в 2020–2022 годах и в последний раз упоминалась в 2024-м. В прошлом злоумышленники требовали крупные суммы, включая почти 17 миллионов долларов в одном из случаев.
В кампаниях 2025 года OldGremlin обновила набор инструментов. Злоумышленники эксплуатировали в легитимном драйвере, чтобы отключать защитные решения на компьютерах, и применяли официальную среду Node.js для запуска вредоносных скриптов. В сообщениях с требованием выкупа они стали использовать изменённое имя OldGremlins — вариант, появившийся ранее в работах исследователей.
Атаки начинались с фишинговых писем. С их помощью устанавливался бэкдор, позволявший удалённо управлять заражёнными устройствами. Затем применялась уязвимость в драйвере, которая отключала защиту Windows и позволяла внедрить собственный драйвер-шифровальщик.
Обновлённое вредоносное ПО не только блокировало файлы, но и отправляло злоумышленникам актуальный статус заражения. Финальный этап включал оставление сообщения с требованием выкупа, удаление следов активности и временное отключение устройства от сети, что осложняло расследование.
По данным исследователей, возвращение OldGremlin в 2025 году сопровождалось усовершенствованием инструментов и более открытым заявлением о собственной активности. Группа фактически использует публично данное ей имя, что выглядит как демонстрация намерений продолжать атаки.
Вредоносное ПО, применяемое в новых атаках, детектируется как Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og и HEUR:Trojan-Ransom.Win64.Generic.
Специалисты отмечают, что для снижения рисков компаниям необходимо регулярно обновлять программное обеспечение, отслеживать аномалии исходящего трафика и хранить офлайн-резервные копии данных. Также важно, чтобы специалисты по информационной безопасности имели доступ к актуальной информации о новых тактиках и методах атакующих.
Подробнее:
Исследователи «Лаборатории Касперского» о возобновлении атак группы вымогателей OldGremlin на российские компании. В первой половине 2025 года под удар попали восемь крупных предприятий, главным образом из промышленного сектора. В число новых жертв также вошли организации из сфер здравоохранения, ритейла и ИТ.
Группа OldGremlin была впервые зафиксирована пять лет назад. Она известна сложными техниками и длительным скрытым присутствием в сетях жертв — в среднем около 49 дней до запуска программы-вымогателя. Ранее группа активно действовала в 2020–2022 годах и в последний раз упоминалась в 2024-м. В прошлом злоумышленники требовали крупные суммы, включая почти 17 миллионов долларов в одном из случаев.
В кампаниях 2025 года OldGremlin обновила набор инструментов. Злоумышленники эксплуатировали в легитимном драйвере, чтобы отключать защитные решения на компьютерах, и применяли официальную среду Node.js для запуска вредоносных скриптов. В сообщениях с требованием выкупа они стали использовать изменённое имя OldGremlins — вариант, появившийся ранее в работах исследователей.
Атаки начинались с фишинговых писем. С их помощью устанавливался бэкдор, позволявший удалённо управлять заражёнными устройствами. Затем применялась уязвимость в драйвере, которая отключала защиту Windows и позволяла внедрить собственный драйвер-шифровальщик.
Обновлённое вредоносное ПО не только блокировало файлы, но и отправляло злоумышленникам актуальный статус заражения. Финальный этап включал оставление сообщения с требованием выкупа, удаление следов активности и временное отключение устройства от сети, что осложняло расследование.
По данным исследователей, возвращение OldGremlin в 2025 году сопровождалось усовершенствованием инструментов и более открытым заявлением о собственной активности. Группа фактически использует публично данное ей имя, что выглядит как демонстрация намерений продолжать атаки.
Вредоносное ПО, применяемое в новых атаках, детектируется как Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og и HEUR:Trojan-Ransom.Win64.Generic.
Специалисты отмечают, что для снижения рисков компаниям необходимо регулярно обновлять программное обеспечение, отслеживать аномалии исходящего трафика и хранить офлайн-резервные копии данных. Также важно, чтобы специалисты по информационной безопасности имели доступ к актуальной информации о новых тактиках и методах атакующих.
Подробнее:
