У першій половині 2025 року зафіксовано новий сплеск активності угруповання-вимагача OldGremlin. За даними дослідників, під удар потрапили щонайменше вісім великих компаній у РФ, переважно з промислового сектору, а також організації зі сфер охорони здоров’я, ритейлу та ІТ. Кампанії відзначаються довгим прихованим перебуванням в інфраструктурі та використанням тактик, що ускладнюють виявлення стандартними засобами безпеки.
Масштаб і мішені: від промисловості до healthcare та ритейлу
OldGremlin діє на ринку вже близько п’яти років і відомий тривалим dwell time — у середньому близько 49 днів між початковим проникненням і запуском шифрувальника. Після активної фази у 2020–2022 роках угруповання знову проявило себе у 2024-му та наростило темпи в 2025 році. Вимоги викупу традиційно високі — до десятків мільйонів доларів, із зафіксованим кейсом майже на 17 млн USD.
Тактики OldGremlin у 2025: маскування під «нормальну» активність
Фішинг і бекдор як старт атаки
Первинний вектор — фішингові листи із шкідливими вкладеннями або посиланнями. Після закріплення у мережі розгортається бекдор, який надає віддалений доступ, керування вузлами та доставку інших компонентів шифрувальника.
BYOVD: уразливий драйвер для відключення захисту
Ключовий елемент — прийом BYOVD (Bring Your Own Vulnerable Driver): зловмисники завантажують легітимний, але уразливий драйвер Windows, щоб обійти та вимкнути засоби захисту, а потім підвантажити власний шкідливий драйвер. Отримання привілеїв рівня ядра суттєво ускладнює детекцію та протидію з боку EDR/AV.
Node.js і телеметрія шифрувальника
У межах підходу Living-off-the-Land група використовує Node.js як легітимний інтерпретатор для виконання шкідливих сценаріїв. Фінальний етап — запуск шифрувальника, який не лише блокує файли, а й передає операторам статус шифрування в реальному часі для кращого контролю ходу атаки.
«Брендовані» записки та приховування слідів
У 2025 році у записках про викуп фігурує варіант назви OldGremlins — елемент «брендингу», що підвищує впізнаваність. Завершальний модуль стирає артефакти активності та тимчасово відключає хост від мережі під час шифрування, ускладнюючи форензику та сповільнюючи реагування.
Тренди та ризики: що кажуть галузеві звіти
Комбінація фішингу, BYOVD і легітимних інтерпретаторів відображає сталі тренди маскування під нормальні ІТ-процеси. Згідно з провідними оглядами загроз (зокрема Verizon DBIR 2024 та ENISA Threat Landscape), соціальна інженерія стабільно лишається ключовим каналом початкового доступу, а атаки на ланцюг довіри драйверів у середовищі Windows — зростаючою проблемою для підприємств.
Що робити компаніям: пріоритетні кроки кіберзахисту
Пошта та люди: багаторівнева фільтрація вкладень/URL, навчання й реалістичні фішинг-симуляції, протидія BEC-сценаріям.
Контроль драйверів і привілеїв: увімкнення Windows Vulnerable Driver Blocklist, заборона несанкціонованого встановлення драйверів/служб, моніторинг EventLog/Sysmon на створення сервісів і завантаження драйверів.
Захист кінцевих точок та скриптів: EDR/XDR з поведінковою аналітикою, політики AppLocker/WDAC, контроль запуску node.exe у серверних зонах, детальне скрипт-логування й пошук аномалій.
Сегментація та резервне копіювання: ізольовані офлайн-бекапи з регулярними перевірками відновлення, принцип найменших привілеїв, мережеві політики, що обмежують масове шифрування, і порогові оповіщення.
Готовність до інцидентів: оновлений IR-план із «часовим буфером» на випадок відключення вузлів від мережі, погоджені плейбуки, контакти зовнішніх команд реагування/CERT.
Повернення OldGremlin з оновленим інструментарієм підтверджує: постійну увагу до ТТП супротивника та оперативне коригування політик безпеки слід вважати нормою. Компаніям у промисловості, охороні здоров’я, ритейлі та ІТ варто переглянути стійкість до фішингу, посилити контроль драйверів і обмежити виконання скриптових середовищ. Найкраща відповідь — регулярні навчання, перевірені офлайн-бекапи та впровадження EDR/XDR з поведінковою аналітикою. Дійте превентивно сьогодні, щоб завтра не оплачувати дорогий простій бізнесу.
