Хакерская группа OldGremlin, спустя год затишья, возобновила целевые атаки на российский бизнес. В первой половине 2025 года от её действий пострадало восемь крупных компаний, в основном из промышленного сектора, а также из сфер здравоохранения, ритейла и ИТ.
Группа известна своим терпением: перед атакой она в среднем 49 дней скрытно находится в сети жертвы, изучая обстановку. В этот раз злоумышленники усовершенствовали методы. Они использовали уязвимость в легитимном драйвере, чтобы бесшумно отключать антивирусные решения, и маскировали вредоносные скрипты под легальную среду Node.js.
Атака всегда начинается с фишингового письма, которое открывает путь для установки бэкдора. Получив контроль, хакеры используют уязвимость драйвера для отключения защиты Windows и внедряют собственный драйвер-шифровальщик. Обновлённое ПО не только блокирует файлы, но и в реальном времени отправляет злоумышленникам отчет о статусе заражения.
Финальная стадия отработана до мелочей: после шифрования данных оставляется требование выкупа, затем стираются все следы активности, а устройство временно отключается от сети, что значительно затрудняет поиск причин и виновных.
Эксперты отмечают, что группа стала действовать наглее, открыто используя данное ей исследователями имя OldGremlins. Для защиты критически важно регулярно обновлять ПО, особенно драйверы, мониторить исходящий трафик и обязательно иметь не перезаписываемые офлайн-копии данных.