Исследователи «Лаборатории Касперского»
С действиями злоумышленников столкнулись восемь крупных предприятий, главным образом промышленных.
Отмечается, что также в число новых целей OldGremlin вошли организации из сфер здравоохранения, ретейла и ИТ.
Впервые группировка OldGremlin была обнаружена пять лет назад, и исследователи предупреждают, что она использует сложные техники, тактики и процедуры. Злоумышленники могут долго находиться в системе жертвы (в среднем около 49 дней) — прежде чем зашифровать файлы.
Ранее OldGremlin
Эксперты пишут, что в кампании 2025 года атакующие обновили свой инструментарий. К примеру, в числе прочего, OldGremlin эксплуатировали уязвимость в легитимном драйвере, чтобы отключать защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов.
Также сообщается, что группа начала «брендировать» свои кибератаки: в сообщениях с требованием выкупа используется имя OldGremlins — немного измененное название группы, которое ранее присвоили ей исследователи.
Новые атаки вымогателей начинаются с рассылки фишинговых писем и использования ряда вредоносных инструментов. Так, бэкдор помогает атакующим получить удаленный доступ и управлять зараженными устройствами. Чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, хакеры эксплуатируют уязвимость в неназванном легитимном драйвере.
В итоге в системе жертвы запускается вымогатель. В новой кампании вредонос не просто шифрует файлы, но и может транслировать злоумышленникам актуальный статус.
Последний, четвертый, инструмент хакеров оставляет жертве сообщение с требованием выкупа, уничтожает следы вредоносной активности и отключает устройство от сети на время шифрования, что затрудняет расследование инцидента.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
о новых атаках вымогательской группировки OldGremlin, нацеленных на российские компании в первой половине 2025 года. С действиями злоумышленников столкнулись восемь крупных предприятий, главным образом промышленных.
Отмечается, что также в число новых целей OldGremlin вошли организации из сфер здравоохранения, ретейла и ИТ.
Впервые группировка OldGremlin была обнаружена пять лет назад, и исследователи предупреждают, что она использует сложные техники, тактики и процедуры. Злоумышленники могут долго находиться в системе жертвы (в среднем около 49 дней) — прежде чем зашифровать файлы.
Ранее OldGremlin
Для просмотра ссылки необходимо нажать
Вход или Регистрация
в 2020-2022 годах, а в последний раз
Для просмотра ссылки необходимо нажать
Вход или Регистрация
в 2024 году. В прошлом хакеры требовали у своих жертв крупные выкупы, в одном из случаев — почти 17 млн долларов США.Эксперты пишут, что в кампании 2025 года атакующие обновили свой инструментарий. К примеру, в числе прочего, OldGremlin эксплуатировали уязвимость в легитимном драйвере, чтобы отключать защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов.
Также сообщается, что группа начала «брендировать» свои кибератаки: в сообщениях с требованием выкупа используется имя OldGremlins — немного измененное название группы, которое ранее присвоили ей исследователи.
Новые атаки вымогателей начинаются с рассылки фишинговых писем и использования ряда вредоносных инструментов. Так, бэкдор помогает атакующим получить удаленный доступ и управлять зараженными устройствами. Чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, хакеры эксплуатируют уязвимость в неназванном легитимном драйвере.
В итоге в системе жертвы запускается вымогатель. В новой кампании вредонос не просто шифрует файлы, но и может транслировать злоумышленникам актуальный статус.
Последний, четвертый, инструмент хакеров оставляет жертве сообщение с требованием выкупа, уничтожает следы вредоносной активности и отключает устройство от сети на время шифрования, что затрудняет расследование инцидента.
«Злоумышленники вернулись с усовершенствованным инструментарием — это в очередной раз подчеркивает, как важно компаниям постоянно следить за техниками и тактиками атакующих, чтобы в будущем не стать жертвой их действий. В 2025 году группа не только возобновила свою деятельность — она взяла себе имя, данное ранее специалистами по кибербезопасности, таким образом публично заявив о себе».
Для просмотра ссылки необходимо нажать
Вход или Регистрация