La actividad del grupo de ransomware OldGremlin repuntó con fuerza durante la primera mitad de 2025, con al menos ocho grandes compañías rusas comprometidas. El objetivo principal sigue siendo el sector industrial, aunque la campaña amplió su alcance a organizaciones de salud, retail y tecnología. La operación destaca por su persistencia: el dwell time medio ronda los 49 días antes de activar el cifrado, lo que incrementa el impacto operativo y financiero.
Panorama de la campaña: persistencia, presión económica y branding criminal
Tras picos de actividad entre 2020 y 2022 y un retorno en 2024, OldGremlin consolidó su presencia en 2025. Históricamente, las exigencias de rescate han alcanzado decenas de millones de dólares, con un caso cercano a los 17 millones USD. Este año, el grupo ha reforzado su “marca” criminal: las notas de rescate hacen referencia a OldGremlins, una táctica diseñada para reforzar el reconocimiento y elevar la presión sobre las víctimas.
Tácticas, técnicas y procedimientos (TTP): del phishing al control a nivel kernel
Acceso inicial por phishing y despliegue de backdoors
Las intrusiones comienzan con campañas de phishing que conducen al despliegue de un backdoor para control remoto. Desde este pivote, los operadores orquestan el movimiento lateral, la recopilación de credenciales y la preparación del entorno para el cifrado.
BYOVD: desactivar defensas con drivers vulnerables
OldGremlin recurre a BYOVD (Bring Your Own Vulnerable Driver): introduce un driver legítimo pero vulnerable de Windows para eludir y deshabilitar EDR/antivirus y luego carga su propio driver malicioso. Este enfoque otorga privilegios a nivel de kernel, complica la detección y aprovecha un vector al alza en el ecosistema Windows. La Windows Vulnerable Driver Blocklist se perfila como control esencial ante este riesgo.
Living-off-the-Land con Node.js y telemetría del cifrador
En línea con el enfoque living-off-the-land, el grupo utiliza el intérprete de Node.js para ejecutar scripts maliciosos. La fase final incorpora un ransomware que, además de cifrar archivos, reporta en tiempo real el avance a los operadores, mejorando el control operacional. Durante el cifrado, la herramienta final elimina rastros y desconecta temporalmente el host de la red para ralentizar la respuesta y obstaculizar la forensia.
Contexto del riesgo: ingeniería social y cadena de confianza en drivers
La combinación de phishing, BYOVD y uso de intérpretes legítimos refleja la tendencia a camuflar la intrusión como actividad normal. Informes de referencia como Verizon DBIR 2024 y ENISA Threat Landscape señalan la ingeniería social como vector inicial dominante y alertan sobre el crecimiento de los ataques a la cadena de confianza de drivers en Windows. En este contexto, los controles de ejecución y de privilegios son determinantes para reducir superficie de ataque.
Medidas prioritarias de defensa para reducir el impacto
Fortalecer el correo y formar al personal: filtrado de adjuntos/URLs, simulaciones realistas de phishing y protección frente a BEC. Refuerza los procesos de reporte de sospechas.
Blindaje de drivers y privilegios: activar y mantener la Windows Vulnerable Driver Blocklist, impedir instalaciones no autorizadas de drivers/servicios y monitorizar con EventLog/Sysmon la creación de servicios y carga de drivers.
EDR/XDR y control de intérpretes: detección basada en comportamiento, políticas AppLocker/WDAC, restricción de node.exe y otros intérpretes en servidores, y script logging para anomalías.
Segmentación y copias de seguridad: segmentación de red, principio de privilegio mínimo, backups offline probados regularmente y alertas por mass encryption.
Preparación de respuesta a incidentes: playbooks preaprobados, “time buffer” ante desconexiones de hosts, y contactos actualizados de proveedores y CERT.
La reactivación de OldGremlin y su adopción de BYOVD y Node.js confirman la necesidad de vigilar continuamente las TTP y ajustar controles con rapidez. Las organizaciones de industria, salud, retail y TI deben revisar su resiliencia frente al phishing, reforzar el control de drivers y limitar la ejecución de intérpretes. Implementar EDR/XDR con analítica de comportamiento, practicar ejercicios de respuesta y validar la restauración de backups son pasos prácticos para reducir la probabilidad de cifrados masivos y minimizar el tiempo de inactividad.
