Исследователи «Лаборатории Касперского» фиксируют новый всплеск активности вымогательской группы OldGremlin в первой половине 2025 года. По их данным, атаке подверглись восемь крупных российских компаний, преимущественно из промышленного сектора. Вектор атак расширился: под удар попали также организации здравоохранения, розничной торговли и ИТ.
Кого атакуют: отрасли и масштаб кампании
OldGremlin действует на российском рынке не первый год: группа впервые замечена около пяти лет назад и уже известна длительным присутствием в инфраструктуре жертвы — средний dwell time около 49 дней до запуска шифрования. После активной фазы в 2020–2022 годах злоумышленники вновь заявили о себе в 2024-м и нарастили активность в 2025 году. Исторически требуемые суммы выкупа достигали десятков миллионов долларов, в одном случае — почти 17 млн USD.
Тактики и инструменты OldGremlin в 2025 году
Фишинговая доставка и бэкдор
Атаки начинаются с фишинговых рассылок, после чего разворачивается набор вредоносных инструментов. Ключевая роль отводится бэкдору, который обеспечивает удаленный доступ, управление узлами и дальнейшее развертывание компонентов шифровальщика.
Отключение защиты через уязвимый драйвер (BYOVD)
Исследователи отмечают использование приема BYOVD (Bring Your Own Vulnerable Driver): злоумышленники эксплуатируют уязвимость в легитимном, но не названном драйвере Windows, чтобы обойти и отключить средства защиты, а затем загрузить собственный вредоносный драйвер. Подобная тактика дает привилегии ядра и усложняет детектирование средствами EDR/AV.
Node.js как средство исполнения и телеметрия шифровальщика
В рамках «живущих за счет легитимных инструментов» подхода (Living-off-the-Land) OldGremlin применяет интерпретатор Node.js для запуска вредоносных скриптов. Финальная стадия — шифровальщик, который не только блокирует файлы, но и передает операторам актуальный статус шифрования, улучшая контроль над ходом атаки.
«Брендированные» требования выкупа и сокрытие следов
В 2025 году группа начала «брендировать» сообщения: в записках о выкупе используется версия названия OldGremlins, что подчеркивает стремление к узнаваемости. Заключительный инструмент кампании оставляет записку, стирает следы активности и временно отключает хост от сети во время шифрования — это замедляет реагирование и усложняет форензику.
Экспертный контекст: тренды и риски
Комбинация фишинга, BYOVD и легитимных интерпретаторов отражает устойчивый тренд на маскировку под нормальную деятельность. По данным отраслевых отчетов (включая Verizon DBIR 2024 и ENISA Threat Landscape), социальная инженерия стабильно остается одним из ключевых векторов начального проникновения, а атаки на цепочку доверия драйверов — растущей проблемой экосистемы Windows.
Что делать компаниям: приоритетные меры защиты
Укрепление почтовой защиты и обучение сотрудников. Фильтрация вложений и URL, базовые и реалистичные фишинг-симуляции, защита от BEC-сценариев.
Контроль драйверов и привилегий. Включение и поддержание списков блокировки уязвимых драйверов (Windows Vulnerable Driver Blocklist), запрет несанкционированной установки драйверов и служб, мониторинг EventLog/Sysmon на создание сервисов и загрузку драйверов.
Защита конечных точек и скриптовой инфраструктуры. EDR/XDR с поведенческой аналитикой, контроль запуска node.exe и других интерпретаторов в серверных средах, политиками AppLocker/WDAC. Включение скрипт-логирования и отслеживание аномалий.
Сегментация и резервное копирование. Сегментация сети, принцип наименьших привилегий, изолированные офлайн-бэкапы, регулярная проверка восстановления. Настройка ограничений на массовое шифрование и пороговые оповещения.
Подготовка к инцидентам. План IR с «тайм-буфером» на случай отключения хостов от сети, предварительно согласованные плейбуки, контактная карта внешних подрядчиков и CERT.
По оценке специалистов «Лаборатории Касперского», возвращение OldGremlin с обновленным набором инструментов подчеркивает необходимость постоянного отслеживания ТТП противника и оперативной корректировки защитных политик. Группировка не только возобновила активность, но и приняла публичный «брендинг», что говорит о стремлении к узнаваемости и усилению давления на жертв.
Компании, особенно из промышленности, здравоохранения, ритейла и ИТ, должны пересмотреть устойчивость к фишингу, обновить контроль драйверов и ограничить исполнение скриптовых сред. Регулярные учения, проверка бэкапов и внедрение EDR/XDR с аналитикой поведения сегодня — наиболее практичные шаги, чтобы снизить риск масштабного шифрования и простоев бизнеса.
