Новости Вымогатели OldGremlin возобновили атаки на российские компании

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
36.015
Репутация
13.480
Реакции
66.865
USD
0
Исследователи «Лаборатории Касперского» о новых атаках вымогательской группировки OldGremlin, нацеленных на российские компании в первой половине 2025 года.

С действиями злоумышленников столкнулись восемь крупных предприятий, главным образом промышленных.

Отмечается, что также в число новых целей OldGremlin вошли организации из сфер здравоохранения, ретейла и ИТ.

i


Впервые группировка OldGremlin была обнаружена пять лет назад, и исследователи предупреждают, что она использует сложные техники, тактики и процедуры. Злоумышленники могут долго находиться в системе жертвы (в среднем около 49 дней) — прежде чем зашифровать файлы.

Ранее OldGremlin в 2020-2022 годах, а в последний раз в 2024 году. В прошлом хакеры требовали у своих жертв крупные выкупы, в одном из случаев — почти 17 млн долларов США.

Эксперты пишут, что в кампании 2025 года атакующие обновили свой инструментарий. К примеру, в числе прочего, OldGremlin эксплуатировали уязвимость в легитимном драйвере, чтобы отключать защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов.

Также сообщается, что группа начала «брендировать» свои кибератаки: в сообщениях с требованием выкупа используется имя OldGremlins — немного измененное название группы, которое ранее присвоили ей исследователи.

Новые атаки вымогателей начинаются с рассылки фишинговых писем и использования ряда вредоносных инструментов. Так, бэкдор помогает атакующим получить удаленный доступ и управлять зараженными устройствами. Чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, хакеры эксплуатируют уязвимость в неназванном легитимном драйвере.

В итоге в системе жертвы запускается вымогатель. В новой кампании вредонос не просто шифрует файлы, но и может транслировать злоумышленникам актуальный статус.

Последний, четвертый, инструмент хакеров оставляет жертве сообщение с требованием выкупа, уничтожает следы вредоносной активности и отключает устройство от сети на время шифрования, что затрудняет расследование инцидента.

«Злоумышленники вернулись с усовершенствованным инструментарием — это в очередной раз подчеркивает, как важно компаниям постоянно следить за техниками и тактиками атакующих, чтобы в будущем не стать жертвой их действий. В 2025 году группа не только возобновила свою деятельность — она взяла себе имя, данное ранее специалистами по кибербезопасности, таким образом публично заявив о себе».


 
Назад
Сверху Снизу