Die Ransomware-Gruppe OldGremlin meldet sich in der ersten Jahreshälfte 2025 mit einer neuen Angriffswelle zurück. Laut aktuellen Analysen wurden acht große russische Unternehmen kompromittiert, überwiegend aus der Industrie. Erstmals geraten zugleich Gesundheitswesen, Einzelhandel und IT deutlicher ins Visier. Charakteristisch bleibt die lange Dwell Time von rund 49 Tagen vor dem Start der Verschlüsselung sowie die Forderung sehr hoher Lösegelder – in Einzelfällen nahe 17 Mio. USD.
Opferlandschaft und Kampagnenmuster
OldGremlin operiert seit mehreren Jahren und setzt auf persistente Präsenz in der Zielumgebung, um maximale Wirkung zu erzielen. Nach Aktivitäten in den Jahren 2020–2022 zeigte die Gruppe 2024 erneute Präsenz und eskalierte 2025 ihre Operationen. Die Branchenverteilung deutet auf opportunistische Ziele mit hohem Betriebseinfluss und Datenwert hin.
Taktiken, Techniken und Verfahren (TTPs) 2025
Phishing als Initialzugang und Backdoor-Installation
Der Einstieg erfolgt über Phishing-Kampagnen (MITRE ATT&CK: T1566). Nach der Erstinfektion wird ein Backdoor platziert, um Remote-Zugriff, Lateral Movement und das Staging des Verschlüsselers zu ermöglichen. So entsteht ein mehrstufiger Angriffsfluss mit hoher Tarnung.
BYOVD: Schutzumgehung über verwundbare Windows-Treiber
Eine zentrale Neuerung ist BYOVD (Bring Your Own Vulnerable Driver): Ein legitimer, aber verwundbarer Treiber wird missbraucht, um EDR/AV-Schutz zu deaktivieren und anschließend einen bösartigen Kernel-Treiber zu laden. Diese Technik verschafft Kernel-Rechte, erschwert Telemetrie und bricht Erkennungs- sowie Härtungsmechanismen auf Treiberebene (ATT&CK: Privilege Escalation/Defense Evasion). Microsoft adressiert dies u. a. mit der Windows Vulnerable Driver Blocklist, die jedoch aktiv gepflegt und durchgesetzt werden muss.
Node.js als Ausführungsumgebung und Telemetrie des Verschlüsselers
Im Sinne von Living-off-the-Land nutzt OldGremlin den Node.js-Interpreter, um Skripte in der Zielumgebung auszuführen. Der finale Verschlüsseler blockiert nicht nur Dateien, sondern meldet Fortschrittsdaten an die Operatoren, was die Angriffssteuerung in Echtzeit verbessert und Reaktionen der Verteidiger antizipierbarer macht.
Branding, Spurenverwischung und Netzwerk-Isolation
In den aktuellen Kampagnen erscheinen „gebrandete“ Erpresserschreiben unter der Bezeichnung OldGremlins. Abschließende Skripte löschen Artefakte und trennen Hosts temporär vom Netzwerk, um Incident Response und Forensik zu verzögern.
Einordnung: Branchenlage, Trends und Risiken
Die Kombination aus Phishing, BYOVD und der Nutzung legitimer Interpreter spiegelt einen stabilen Trend zur Tarnung als legale Aktivität. Branchenberichte wie der Verizon DBIR 2024 und die ENISA Threat Landscape bestätigen die anhaltende Dominanz der menschlichen Komponente beim Initialzugang sowie die wachsende Relevanz von Angriffen auf die Vertrauensketten von Treibern. BYOVD wurde in den vergangenen Jahren von mehreren Ransomware-Ökosystemen adaptiert, was die Notwendigkeit harter Treiberkontrollen unterstreicht.
Priorisierte Schutzmaßnahmen für Unternehmen
E-Mail-Schutz und Awareness: Strikte Filter für Anhänge/URLs, realistische Phishing-Übungen und Schutz gegen BEC-Szenarien reduzieren das Einfallstor maßgeblich.
Treiber- und Privilegienkontrolle: Windows Vulnerable Driver Blocklist aktivieren und pflegen, nicht autorisierte Treiberinstallationen unterbinden, EventLog/Sysmon auf Treiberladungen und Service-Erstellung monitoren; WDAC/AppLocker für signatur- und pfadbasierte Policies.
EDR/XDR und Skriptkontrolle: Verhaltensbasierte Erkennung, Überwachung von node.exe und anderen Interpretern in Serverumgebungen, Skript-Logging (z. B. PowerShell Script Block Logging), Erkennung von LoLBin/LoLScript-Mustern.
Netzwerksegmentierung und Backups: Segmentierte Zonen, Least Privilege, offline isolierte Backups mit regelmäßigen Restore-Tests; Schwellenwerte und Alarmierung bei massenhaftem Datei-Encrypting.
Incident Response: IR-Playbooks mit Puffer für temporäre Netzwerk-Isolation, klar definierte Kommunikationswege, externe Partner/CERT-Kontakte sowie Übungen zur Entscheidungsfindung unter Zeitdruck.
Unternehmen in Industrie, Gesundheit, Handel und IT sollten ihre Phishing-Resilienz erhöhen, Treiber-Härtung konsequent umsetzen und Interpreter-Nutzung strikt regulieren. Wer EDR/XDR mit Verhaltenserkennung kombiniert, Treiber-Blocklisten durchsetzt und Wiederherstellungsprozesse belastbar testet, reduziert das Risiko von Geschäftsunterbrechungen signifikant und verkürzt die Zeit bis zur Eindämmung künftiger OldGremlin-Angriffe.
