在全球网络安全形势日趋严峻的当下,勒索软件成了攻击者最青睐的工具之一。作为近年来备受关注的威胁组织,OldGremlin勒索软件团伙自2025年起再次活跃,针对俄罗斯境内多家大型企业发起了持续性的勒索袭击,掀起新一轮网络安全震荡。此次攻击不仅彰显了OldGremlin成熟的攻击技巧和高度隐蔽性,也突显了企业面对高级威胁时的防护挑战。 Researchers from Kaspersky Lab have revealed that in the first half of 2025, OldGremlin intensified its ransomware campaigns targeting various sectors including industrial giants, healthcare organizations, retail chains, and IT firms within Russia. These malicious operations had a significant impact on at least eight major companies, predominantly from the industrial category, but with notable expansions into other critical industries. OldGremlin的首次公开亮相可追溯到大约五年前,期间不断调整策略与工具,显示出极强的适应能力。其攻击周期平均持续近49天,攻击者利用这段时间潜伏于受害网络内部,悄无声息地进行信息窃取与系统权限提升,直至发动加密攻击。与以往不同的是,本轮攻击更侧重于精细化工具的使用和隐蔽行动的结合。
攻防专家指出,OldGremlin黑客团伙不仅采用了老练的钓鱼邮件诱骗技术,还巧妙利用了合法驱动程序中的漏洞,借此绕过传统安全防护措施,将恶意负载暗中植入目标主机。此外,他们还充分利用了Node.js等合法脚本环境,执行定制化恶意脚本,进一步加强了攻击隐蔽性。这种"合法组件滥用"手法有效躲避了多数安全检测系统的监控,成为攻击成功的关键。值得关注的是,此次FakeGremlin团队罕见地对其勒索软件活动进行了"品牌化",攻击后发布的勒索信息中带有"OldGremlins"标识,表明他们正试图通过这种方式树立声誉,甚至可能威慑潜在受害者为避免损失而付款。攻击的起点往往始于大量精心设计的钓鱼邮件,邮件内包含恶意链接或附件,一旦受害者点击,便启动多阶段的攻击链,从后门安装、权限攫取,到禁用安全防护和文件加密,环环相扣,步步紧逼。为了达成攻击目的,黑客利用安全漏洞关闭Windows防护系统,甚至强制装载恶意驱动程序,确保勒索软件能够不受阻碍地执行。
攻击过程中,勒索软件不仅加密受害企业关键数据,还会将系统状态实时反馈给黑客,方便其掌控受害环境变化,调整攻击策略。此外,受害设备在加密过程中会暂时断网,切断外部协助,且在攻击结束后留下勒索通知,清除痕迹,维护犯罪隐秘性。OldGremlin的持续活跃和手法不断升级,极大提醒了企业网络安全的重要性。企业应当建立完善的安全防护体系,强化员工的网络安全意识培训,阻断初始的钓鱼攻击入口,同时及时修补系统漏洞,应用行为检测和威胁情报共享,从而提升对这类高级持续威胁的应对能力。在行业层面,相关安全机构和企业间应加强协作,实时监测和分析攻击动向,分享威胁信息,构建统一防御生态。这不仅有助于降低单一企业风险,更能有效打击和遏制勒索软件团伙的跨国犯罪行为。
从历史角度看,OldGremlin不仅以高额赎金著称,过去其单笔勒索金额曾接近1700万美元,这显示其攻击目标往往锁定财务实力雄厚的行业巨头。此外,他们对系统的长时间潜伏和复杂持久的攻击策略,证明了该团伙既具备高级技术实力,也拥有良好的组织体系。由此可见,OldGremlin的威胁远非单纯的资金勒索,而是对企业运作安全和国家网络安全稳定的严重挑战。俄罗斯企业要想有效抵御此类攻击,须从应急响应、数据备份、权限管理等多方面构建多层安全防护网,并持续更新安全技术和策略,同时加强与专业安全机构的合作。老练的威胁团伙不断进化的攻击模式提示企业必须保持高度警惕,持续投入安全防护资源。综上,OldGremlin勒索软件的再度活跃不仅揭示了勒索软件威胁的严峻性,更彰显了网络攻防日益复杂的态势。
企业只有深化安全意识,完善技术手段,强化风险管理,方能有效抵御高级持续威胁,保障自身信息资产安全和业务连续性。随着数字化进程加快,网络空间的安全形势愈加复杂,唯有主动出击,不断提升防御能力,才能在激烈的网络安全博弈中立于不败之地。 。
