OldGremlin возвращается: новая волна кибератак на российские компании

Киберпреступная группировка OldGremlin, известная своими атаками на российский бизнес в период с 2020 по 2022 год, возобновила свою активность в этом месяце. Недавно они нацелились на одну из крупнейших нефтехимических компаний России, используя хитрые методы маскировки и продвинутые инструменты вредоносного ПО.

Согласно сообщениям, злоумышленники применили фальшивый домен diadok[.]net, подделывая известный сервис электронного документооборота «Контур.Диадок». Вредоносное письмо содержало ссылку на скачивание архива, который активировал загрузчик вируса OldGremlin.JsDownloader. Этот маневр позволяет группировке получать удаленный доступ к сетям атакованных компаний.

В прошлые годы OldGremlin применяла фишинговые кампании для первоначального проникновения в корпоративные сети, охотясь за данными и требуя крупные суммы выкупа. Их жертвами стали не только нефтехимические, но и банковские, страховые, логистические и промышленные компании, а также девелоперы и ритейлеры. Одним из самых заметных случаев стала атака на оружейный завод России в 2020 году.

Ставки выкупа, которые требовала группировка, значительно выросли: если в 2021 году цена за восстановление данных составляла 250 миллионов рублей, то к 2022 году она возросла до астрономической суммы в 1 миллиард рублей. Это свидетельствует о растущих аппетитах и возможностях киберпреступников.