- 19,447
- 40
- 8 Ноя 2022
Не нужен взлом, когда доступ даёт тот, кто отвечает за доступ.
Операторы вымогательской программы DragonForce атаковали поставщика управляемых IT-услуг (MSP), использовав его платформу удалённого администрирования SimpleHelp для кражи данных и установки шифровальщиков на компьютеры клиентов. По Для просмотра ссылки Войдиили Зарегистрируйся компании Sophos, расследовавшей инцидент, для проникновения в систему злоумышленники использовали связку известных уязвимостей в SimpleHelp, получивших идентификаторы CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728.
SimpleHelp — это коммерческий инструмент для удалённой поддержки и управления, активно применяемый MSP-компаниями для обслуживания инфраструктуры своих клиентов. В рамках атаки злоумышленники сначала провели разведку, собирая информацию об организациях-клиентах, включая имена устройств, конфигурации, данные пользователей и сетевые соединения. Затем они перешли к краже данных и развёртыванию шифровальщиков, используя SimpleHelp как транспорт.
Sophos удалось заблокировать попытки внедрения на одной из клиентских сетей. Однако остальные клиенты MSP не были защищены: злоумышленники успешно зашифровали устройства и похитили данные, что дало им возможность реализовать Для просмотра ссылки Войдиили Зарегистрируйся — требуя плату за дешифровку и угрожая публикацией информации. Для защиты других организаций Sophos Для просмотра ссылки Войди или Зарегистрируйся индикаторы компрометации (IoC), связанные с этой атакой.
Атака вновь поднимает проблему уязвимости MSP как канала распространения атак. Вымогательские группировки давно рассматривают такие компании как приоритетную цель, ведь одно успешное вторжение может открыть доступ сразу к десяткам или сотням жертв. Некоторые аффилированные участники рынков киберпреступности даже специализируются на эксплуатации популярных MSP-инструментов, включая SimpleHelp, Для просмотра ссылки Войдиили Зарегистрируйся и Kaseya.
Среди громких примеров — Для просмотра ссылки Войдиили Зарегистрируйся на инфраструктуру Kaseya в 2021 году, последствия которой затронули более тысячи организаций по всему миру.
Группировка DragonForce, ответственная за новый инцидент, активно наращивает влияние. Ранее она уже попала в поле зрения специалистов после громких атак на британские ритейлы Marks & Spencer и Co-op. В этих инцидентах применялись методики, сходные с приёмами группировки Scattered Spider, включая использование корпоративных инструментов администрирования и социальной инженерии. В случае Co-op в результате утечки пострадали персональные данные большого количества клиентов.
Растущий список жертв и гибкая модель распространения только усиливают позиции DragonForce в киберпреступной среде. Группировка предлагает так называемую модель Для просмотра ссылки Войдиили Зарегистрируйся (ransomware-as-a-service) — партнёры могут использовать фирменный шифровальщик под собственным брендом. Такая стратегия делает платформу особенно привлекательной для аффилиатов и создаёт угрозу дальнейшего расширения масштабов атак.
Операторы вымогательской программы DragonForce атаковали поставщика управляемых IT-услуг (MSP), использовав его платформу удалённого администрирования SimpleHelp для кражи данных и установки шифровальщиков на компьютеры клиентов. По Для просмотра ссылки Войди
SimpleHelp — это коммерческий инструмент для удалённой поддержки и управления, активно применяемый MSP-компаниями для обслуживания инфраструктуры своих клиентов. В рамках атаки злоумышленники сначала провели разведку, собирая информацию об организациях-клиентах, включая имена устройств, конфигурации, данные пользователей и сетевые соединения. Затем они перешли к краже данных и развёртыванию шифровальщиков, используя SimpleHelp как транспорт.
Sophos удалось заблокировать попытки внедрения на одной из клиентских сетей. Однако остальные клиенты MSP не были защищены: злоумышленники успешно зашифровали устройства и похитили данные, что дало им возможность реализовать Для просмотра ссылки Войди
Атака вновь поднимает проблему уязвимости MSP как канала распространения атак. Вымогательские группировки давно рассматривают такие компании как приоритетную цель, ведь одно успешное вторжение может открыть доступ сразу к десяткам или сотням жертв. Некоторые аффилированные участники рынков киберпреступности даже специализируются на эксплуатации популярных MSP-инструментов, включая SimpleHelp, Для просмотра ссылки Войди
Среди громких примеров — Для просмотра ссылки Войди
Группировка DragonForce, ответственная за новый инцидент, активно наращивает влияние. Ранее она уже попала в поле зрения специалистов после громких атак на британские ритейлы Marks & Spencer и Co-op. В этих инцидентах применялись методики, сходные с приёмами группировки Scattered Spider, включая использование корпоративных инструментов администрирования и социальной инженерии. В случае Co-op в результате утечки пострадали персональные данные большого количества клиентов.
Растущий список жертв и гибкая модель распространения только усиливают позиции DragonForce в киберпреступной среде. Группировка предлагает так называемую модель Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
