卡巴斯基威胁研究团队发现俄语系勒索软件组织 OldGremlin 在 2025 年初发起了新一轮的攻击，这标志着该组织的回归。OldGremlin以制造业、医疗保健、零售和科技公司为攻击目标，曾向单一受害者索要近1700万美元赎金。

此次活动与该组织过去的行动模式相符，并且首次在其自身材料（赎金信和文件路径）中出现了“OldGremlin”的名称。该工具包会关闭Windows的关键防护功能以运行组织自有驱动程序，并依赖Node.js执行命令。

卡巴斯基研究人员发现OldGremlin工具包包含四个主要组件。远程访问后门使攻击者能够控制受感染计算机。“修补程序”利用合法Windows驱动程序的漏洞关闭通常阻止未签名驱动程序的保护机制，随后加载该团伙的恶意驱动程序以关闭安全工具。文件加密程序"master"与"patcher"既能作为独立可执行文件运行，也可作为Node.js插件运行——当在本地查询时（localhost:8010），"master"会上报当前加密状态，便于攻击者追踪进度。最终工具"closethedoor"在加密过程中隔离设备网络连接，投放勒索信并清理操作痕迹。

“OldGremlin组织已升级其工具集，包含后门程序、EPP/EDR关闭工具及加密木马。该威胁组织在攻击中还滥用合法工具和存在漏洞的驱动程序。为了应对这类活动和其他高级威胁，我们推荐使用卡巴斯基 Next 产品系列，它提供实时保护以及 EDR 和 XDR 功能，组织可以根据其安全需求的增长进行扩展，”卡巴斯基威胁研究团队的Yanis Zinchenko表示。

卡巴斯基通过在之前攻击行动中使用的一致的攻击手法及重复使用的加密公钥将2025年的攻击事件与OldGremlin组织关联，将其指向同一个运营组织。该组织今年的攻击目标涵盖制造业、科技行业、零售业及医疗保健机构。该组织以较长的潜伏时间而闻名，在加密文件之前大约潜伏 49 天，并且过去曾提出过巨额赎金要求，包括 2022 年的 索要1690 万美元案例。卡巴斯基还监测到其命令与控制服务器可通过公共互联网访问。

卡巴斯基产品将这款勒索软件检测为Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og 和HEUR:Trojan-Ransom.Win64.Generic。

卡巴斯基建议组织和企业遵循以下最佳实践方案以防范勒索软件攻击：

· 请使用卡巴斯基Next产品线提供的解决方案，这些解决方案为任何规模和行业的组织提供实时保护、威胁可见性以及EDR和XDR的调查和响应能力。

· 始终保持所有设备上的软件更新，以防止攻击者利用漏洞入侵您的网络。

· 将您的防御策略集中在检测横向移动和数据向互联网的外泄上。特别注意传出流量，以检测网络罪犯的连接。

· 建立入侵者无法篡改的脱机备份。确保您可以在需要时或在紧急情况下快速访问它们。

· 使用最新的威胁情报信息，实时掌握攻击者实际采用的战术、技术与程序（TTP）。

威胁研究团队

威胁研究团队是防范网络威胁的权威机构。通过积极参与威胁分析和技术创新，我们的威胁研究专家确保卡巴斯基的网络安全解决方案具有深刻的洞察力和卓越的效力，为我们的客户和更广泛的社区提供关键的威胁情报和强大的安全保障。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。