Американское агентство по кибербезопасности и безопасности инфраструктуры (CISA) в четверг заявило, что хакеры целенаправленно атакуют непатченные версии SimpleHelp Remote Monitoring and Management (RMM), чтобы взломать клиентов одного неизвестного поставщика программ для учёта коммунальных услуг.
«Эта ситуация – часть более широкой тенденции: с начала 2025 года вымогатели всё активнее используют уязвимости в непатченных версиях SimpleHelp RMM для проникновения в сети организаций», — говорится в официальном заявлении агентства.
Ранее в этом году SimpleHelp сообщил о нескольких уязвимостях (CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726), которые позволяют раскрывать конфиденциальные данные, повышать привилегии и выполнять удалённый запуск кода.
С тех пор эти бреши неоднократно использовали злоумышленники, включая группировку вымогателей DragonForce, для атак на конкретные цели. В прошлом месяце Sophos раскрыла, что хакерам удалось проникнуть в инфраструктуру одного из IT-поставщиков, применяющих SimpleHelp, и благодаря этому получить доступ к клиентам провайдера.
CISA отмечает, что версии SimpleHelp 5.5.7 и ниже содержат множество уязвимостей, включая CVE-2024-57727, через которые вымогатели проникают во вспомогательные непатченные серверы SimpleHelp, чтобы проводить атаки с двойным шантажом.
Агентство советует организациям и их партнёрам, использующим SimpleHelp для удалённого доступа к клиентам, принять следующие меры для защиты от этой угрозы:
- Выявить и изолировать серверы SimpleHelp от интернета, а также обновить программное обеспечение до последней версии
- Проинформировать клиентов о возможных рисках и дать им рекомендации по защите конечных устройств
- Проводить мониторинг и анализ признаков взлома, внимательно отслеживать подозрительную активность на вход и выход с серверов SimpleHelp
- Если обнаружено шифрование вымогателем, немедленно отключать заражённые устройства от сети, переустанавливать систему и восстанавливать данные из надёжных резервных копий
- Регулярно создавать чистые резервные копии данных offline
- Избегать открытого доступа к удалённым сервисам, таким как RDP, через интернет
CISA также предупреждает жертв не платить выкуп, поскольку нет гарантий, что злоумышленники предоставят рабочий инструмент для восстановления данных.
«Оплата лишь подстёгивает преступников продолжать атаки, привлекает новых вымогателей и финансирует их незаконную деятельность», — добавляет агентство.
Атака Fog Ransomware: хакеры используют программы для слежки за сотрудниками
Тем временем Symantec (Broadcom) описала атаку с вымогателем Fog на азиатское финансовое учреждение. Злоумышленники применили необычное сочетание инструментов для тестирования безопасности, ранее не встречавшихся в подобных атаках.
Вымогатель Fog впервые обнаружили в мае 2024 года. Как и многие другие, эта группировка использует украденные VPN-данные и уязвимости систем, чтобы проникать и шифровать данные после их кражи.
Для заражения иногда применяются ярлыки Windows (.LNK), упакованные в ZIP-файлы и рассылаемые по почте в фишинговых кампаниях. Запуск такого файла запускает PowerShell-скрипт, который загружает полезную нагрузку с шифровальщиком Fog.
Атаки сопровождаются сложными приёмами повышения привилегий и обхода защит — вредоносный код загружается напрямую в память, а средства безопасности отключаются. Угрозе подвержены компьютеры на Windows и Linux.
По данным Trend Micro, с начала 2025 года Fog заявила на своём сайте о 100 жертвах с утечками, большинство из которых работают в сферах технологий, образования, производства и транспорта.
Особенность этой кампании — использование легального ПО для мониторинга сотрудников Syteca (раньше Ekran), что крайне необычно. Кроме того, злоумышленники применяли редкие в атаках с вымогателями инструменты пентестинга — GC2, Adaptix и Stowaway.
Хотя точный способ начального проникновения неизвестен, известно, что для доставки Syteca использовался прокси-инструмент Stowaway, часто применяемый китайскими хакерскими группами. GC2 известен благодаря атакам спонсируемой Китаем группировки APT41 в 2023 году.
Также были использованы легальные программы 7-Zip, Freefilesync и MegaSync для архивирования и вывода украденных данных.
Необычно, что спустя несколько дней после установки вымогателя злоумышленники создали службу для сохранения доступа к сети и оставались в системе около двух недель до финальной атаки.
«Обычно после кражи данных и шифровки хакеры прекращают активность, но здесь они намеренно сохраняли доступ», — отмечают специалисты Symantec и Carbon Black.
Такой подход говорит, что организация могла стать объектом шпионажа, а операция с вымогательством была либо отвлекающим манёвром, либо способом быстро заработать.
Слив панели LockBit: Китай — в числе главных целей хакеров
Параллельно стало известно, что схема Ransomware-as-a-Service (RaaS) LockBit принесла около 2,3 млн долларов за последние полгода, что доказывает активность группы, несмотря на несколько неудач.
Анализ географии целей LockBit с декабря 2024 по апрель 2025, основанный на сливах административной панели в мае 2025, показал, что среди приоритетных жертв — Китай. Также в списках значатся Тайвань, Бразилия и Турция.
«Фокус на Китае, скорее всего, связан с огромной индустриальной и производственной базой страны», — объяснил эксперт по безопасности Джамбул Тологоно.
«В отличие от групп Black Basta и Conti, которые иногда проверяют цели в Китае, но не шифруют данные, LockBit явно не боится работать внутри страны, игнорируя политические риски — это заметное отличие в тактике.»
После слива панели LockBit объявил награду за информацию о «xoxo из Праги» — анонимном участнике, обвинённом в утечке.
Кроме того, LockBit получили бонус от неожиданного закрытия платформы RansomHub в марте 2025 — часть её партнёров, включая BaleyBeach и GuillaumeAtkinson, перешли на LockBit, что заставило группу активизировать операции и продолжить работу над новой версией вымогателя LockBit 5.0.
«Этот слив раскрывает суровую и далёкую от глянца реальность преступной деятельности этих групп. Несмотря на прибыльность, это далеко не безупречно спланированное и сверхдоходное предприятие, каким они хотят казаться», — подчеркнул Тологоно.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru