- 19,416
- 40
- 8 Ноя 2022
Кто такой xoxo from Prague и зачем LockBit объявил за него охоту?
Американское агентство по кибербезопасности и защите инфраструктуры ( Для просмотра ссылки Войдиили Зарегистрируйся ) официально предупредило: злоумышленники активно атакуют уязвимые версии SimpleHelp — инструмента удалённого мониторинга и администрирования, популярного среди поставщиков IT-услуг. Один из таких инцидентов затронул неназванного вендора, занимающегося биллингом в сфере коммунальных услуг, и, как оказалось, стал не частным случаем, а частью устойчивой и всё более агрессивной тенденции.
Для просмотра ссылки Войдиили Зарегистрируйся , начиная с января 2025 года, атаки на незащищённые установки SimpleHelp происходят систематически. Хакеры используют давно закрытые, но до сих пор массово не обновлённые Для просмотра ссылки Войди или Зарегистрируйся , чтобы получить доступ к инфраструктуре целевых компаний — особенно тех, что взаимодействуют с конечными клиентами через цепочку подрядчиков и Для просмотра ссылки Войди или Зарегистрируйся .
Сам разработчик SimpleHelp ранее в этом году раскрыл сразу три критические уязвимости — CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726. Все три дыры открывают довольно мрачные перспективы для тех, кто не спешит обновляться: через них возможны утечка информации, получение повышенных привилегий и даже удалённое выполнение произвольного кода. Фактически, злоумышленники получают полный контроль над атакуемой системой.
Один из наиболее известных случаев злоупотребления этими уязвимостями произошёл совсем недавно. Компания Sophos зафиксировала инцидент, в ходе которого злоумышленники скомпрометировали сервер SimpleHelp у одного из Для просмотра ссылки Войдиили Зарегистрируйся для доступа к клиентским системам. Этот приём позволил атакующим развернуть полноценную цепочку заражения, перекидываясь от одного объекта к другому внутри партнёрской сети.
Особенно уязвимыми оказались установки SimpleHelp версии 5.5.7 и более ранние. Именно в них содержится эксплуатируемая CVE-2024-57727. CISA подчёркивает: вектор атаки направлен не только на непосредственные цели, но и на их клиентов — через те же незакрытые копии ПО, развёрнутые на периферии. Злоумышленники применяют приёмы Для просмотра ссылки Войдиили Зарегистрируйся : сначала крадут данные, затем шифруют инфраструктуру, угрожая обнародовать компромат, если не получат выкуп.
Чтобы снизить риски, агентство предлагает целый ряд практических шагов. Во-первых, изолировать уязвимые серверы SimpleHelp от интернета и обновить их до актуальной версии. Во-вторых, оперативно уведомить всех зависимых клиентов и дать им инструкции по укреплению своих конечных точек. Важно также провести активный хантинг: проанализировать журналы событий, отследить подозрительный входящий и исходящий трафик, особенно со стороны SimpleHelp.
Если заражение уже произошло, CISA советует немедленно отключить систему от сети, переустановить ОС и восстановить данные только с проверенных офлайн-бэкапов. Упор делается именно на изолированные копии: сетевые резервные хранилища часто также оказываются жертвой шифровальщиков. И, разумеется, не стоит оставлять открытым доступ к удалённым службам типа RDP — это один из главных входов для атакующих.
Свою позицию по поводу выкупа CISA не меняет: платить не стоит. Во-первых, это не гарантирует восстановления данных. Во-вторых, создаёт прецедент — злоумышленники получают средства, мотивацию и подтверждение эффективности схемы. А ещё — финансирование для следующей волны атак, возможно, ещё более разрушительных.
Пока одни группы продолжают ставить на масштабный вымогательский шантаж, другие используют Для просмотра ссылки Войдиили Зарегистрируйся более изощрённо — например, как прикрытие для шпионской операции. Такую картину нарисовала компания Symantec, рассказав об атаке Fog на неназванную финансовую структуру в Азии.
Fog — относительно свежий игрок на сцене: его впервые зафиксировали в мае 2024 года. Механика распространения знакома: злоумышленники используют скомпрометированные VPN-учётки и известные уязвимости, чтобы проникнуть в сеть, выгрузить данные и только потом зашифровать инфраструктуру. Однако в данной атаке есть интересные отклонения от классического сценария.
Так, одной из альтернативных векторов заражения оказались ZIP-архивы с ярлыками Windows (файлы .LNK), рассылаемые через электронную почту и фишинговые сообщения. Активировав ярлык, жертва запускала PowerShell-скрипт, который в свою очередь загружал загрузчик с полезной нагрузкой — тем самым Fog-шифровальщиком.
Злоумышленники явно не экономили на инструментах. Они применяли целый арсенал продвинутых методов: от повышения привилегий до внедрения кода напрямую в память, минуя файловую систему. Это позволяет не только избежать срабатывания Для просмотра ссылки Войдиили Зарегистрируйся , но и усложнить последующий анализ. При этом вредонос нацелен на обе платформы — Windows и Linux.
К настоящему моменту, по данным Trend Micro, группировка, стоящая за Fog, заявила о компрометации 100 организаций. Большинство жертв — из секторов технологий, образования, промышленности и транспорта. География — преимущественно Азия.
Одним из самых нестандартных шагов в этом инциденте стало использование легитимного ПО для мониторинга сотрудников — программы Syteca (ранее известной как Ekran). Такое приложение, встроенное в заражённую инфраструктуру, позволяло наблюдать за действиями персонала в режиме реального времени. Кроме того, применялись специфичные инструменты Для просмотра ссылки Войдиили Зарегистрируйся с открытым исходным кодом: GC2, Adaptix и Stowaway.
Особый интерес вызывает Stowaway — инструмент-прокси, активно использующийся китайскими хак-группами. Именно через него, как считают исследователи, распространялась вышеупомянутая Syteca. А GC2, между прочим, ранее фигурировал в операциях группировки APT41, спонсируемой китайским государством.
Также фиксировалось скачивание вполне легальных утилит, таких как 7-Zip, Freefilesync и MegaSync. Они использовались для упаковки и выгрузки украденных данных. А уже через несколько дней после того, как рансомвар был развёрнут, злоумышленники установили отдельный сервис для закрепления в системе — шаг, крайне нетипичный для подобных атак. Обычно вымогатели покидают сеть сразу после завершения операции.
А здесь — наоборот: злоумышленники продолжили удерживать доступ к системе ещё как минимум неделю, что наводит на мысль о разведывательных мотивах. Возможно, шифровальщик был всего лишь отвлекающим манёвром, а настоящей целью было скрытое наблюдение или кража чувствительной информации.
На фоне всего этого продолжает набирать обороты Для просмотра ссылки Войдиили Зарегистрируйся — один из старейших представителей рынка Для просмотра ссылки Войди или Зарегистрируйся . Несмотря на череду неудач, группировка за последние полгода получила около $2,3 млн. Особенно интересна недавняя утечка их административной панели: она показала, что среди ключевых целей LockBit оказались Китай, Тайвань, Бразилия и Турция.
Исследование компании Trellix, основанное на данных из этой панели, пролило свет на то, кто именно стоит за атаками. Активнее других себя проявили участники с псевдонимами Iofikdis, PiotrBond и JamesCraig. Причём Китай оказался в топе, что довольно необычно: другие крупные группировки вроде Conti или Black Basta обычно избегают атак на китайскую территорию, опасаясь политических последствий.
LockBit, похоже, таких опасений не испытывает. Они целенаправленно атакуют промышленные и производственные компании в Китае, пренебрегая возможными дипломатическими последствиями. Этот сдвиг стратегии выделяет их среди других игроков.
Любопытно, что вслед за утечкой панельных данных Для просмотра ссылки Войдиили Зарегистрируйся за информацию о личности Для просмотра ссылки Войди или Зарегистрируйся под ником «xoxo from Prague», якобы ответственного за слив. Тем временем, к группе присоединились бывшие участники конкурирующего RansomHub, который внезапно свернул деятельность в марте 2025 года. Переход таких фигур, как BaleyBeach и GuillaumeAtkinson, помог LockBit перезапустить активность и ускорить разработку новой версии своего ПО — LockBit 5.0.
Вся эта история напоминает: за внешней оболочкой хайпа и громких выкупов стоит куда более мрачная и запутанная реальность. Рынок цифрового вымогательства — это уже не просто криминальный стартап, а Для просмотра ссылки Войдиили Зарегистрируйся , перетоком «кадров» и постоянной эволюцией методов.
Американское агентство по кибербезопасности и защите инфраструктуры ( Для просмотра ссылки Войди
Для просмотра ссылки Войди
Сам разработчик SimpleHelp ранее в этом году раскрыл сразу три критические уязвимости — CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726. Все три дыры открывают довольно мрачные перспективы для тех, кто не спешит обновляться: через них возможны утечка информации, получение повышенных привилегий и даже удалённое выполнение произвольного кода. Фактически, злоумышленники получают полный контроль над атакуемой системой.
Один из наиболее известных случаев злоупотребления этими уязвимостями произошёл совсем недавно. Компания Sophos зафиксировала инцидент, в ходе которого злоумышленники скомпрометировали сервер SimpleHelp у одного из Для просмотра ссылки Войди
Особенно уязвимыми оказались установки SimpleHelp версии 5.5.7 и более ранние. Именно в них содержится эксплуатируемая CVE-2024-57727. CISA подчёркивает: вектор атаки направлен не только на непосредственные цели, но и на их клиентов — через те же незакрытые копии ПО, развёрнутые на периферии. Злоумышленники применяют приёмы Для просмотра ссылки Войди
Чтобы снизить риски, агентство предлагает целый ряд практических шагов. Во-первых, изолировать уязвимые серверы SimpleHelp от интернета и обновить их до актуальной версии. Во-вторых, оперативно уведомить всех зависимых клиентов и дать им инструкции по укреплению своих конечных точек. Важно также провести активный хантинг: проанализировать журналы событий, отследить подозрительный входящий и исходящий трафик, особенно со стороны SimpleHelp.
Если заражение уже произошло, CISA советует немедленно отключить систему от сети, переустановить ОС и восстановить данные только с проверенных офлайн-бэкапов. Упор делается именно на изолированные копии: сетевые резервные хранилища часто также оказываются жертвой шифровальщиков. И, разумеется, не стоит оставлять открытым доступ к удалённым службам типа RDP — это один из главных входов для атакующих.
Свою позицию по поводу выкупа CISA не меняет: платить не стоит. Во-первых, это не гарантирует восстановления данных. Во-вторых, создаёт прецедент — злоумышленники получают средства, мотивацию и подтверждение эффективности схемы. А ещё — финансирование для следующей волны атак, возможно, ещё более разрушительных.
Пока одни группы продолжают ставить на масштабный вымогательский шантаж, другие используют Для просмотра ссылки Войди
Fog — относительно свежий игрок на сцене: его впервые зафиксировали в мае 2024 года. Механика распространения знакома: злоумышленники используют скомпрометированные VPN-учётки и известные уязвимости, чтобы проникнуть в сеть, выгрузить данные и только потом зашифровать инфраструктуру. Однако в данной атаке есть интересные отклонения от классического сценария.
Так, одной из альтернативных векторов заражения оказались ZIP-архивы с ярлыками Windows (файлы .LNK), рассылаемые через электронную почту и фишинговые сообщения. Активировав ярлык, жертва запускала PowerShell-скрипт, который в свою очередь загружал загрузчик с полезной нагрузкой — тем самым Fog-шифровальщиком.
Злоумышленники явно не экономили на инструментах. Они применяли целый арсенал продвинутых методов: от повышения привилегий до внедрения кода напрямую в память, минуя файловую систему. Это позволяет не только избежать срабатывания Для просмотра ссылки Войди
К настоящему моменту, по данным Trend Micro, группировка, стоящая за Fog, заявила о компрометации 100 организаций. Большинство жертв — из секторов технологий, образования, промышленности и транспорта. География — преимущественно Азия.
Одним из самых нестандартных шагов в этом инциденте стало использование легитимного ПО для мониторинга сотрудников — программы Syteca (ранее известной как Ekran). Такое приложение, встроенное в заражённую инфраструктуру, позволяло наблюдать за действиями персонала в режиме реального времени. Кроме того, применялись специфичные инструменты Для просмотра ссылки Войди
Особый интерес вызывает Stowaway — инструмент-прокси, активно использующийся китайскими хак-группами. Именно через него, как считают исследователи, распространялась вышеупомянутая Syteca. А GC2, между прочим, ранее фигурировал в операциях группировки APT41, спонсируемой китайским государством.
Также фиксировалось скачивание вполне легальных утилит, таких как 7-Zip, Freefilesync и MegaSync. Они использовались для упаковки и выгрузки украденных данных. А уже через несколько дней после того, как рансомвар был развёрнут, злоумышленники установили отдельный сервис для закрепления в системе — шаг, крайне нетипичный для подобных атак. Обычно вымогатели покидают сеть сразу после завершения операции.
А здесь — наоборот: злоумышленники продолжили удерживать доступ к системе ещё как минимум неделю, что наводит на мысль о разведывательных мотивах. Возможно, шифровальщик был всего лишь отвлекающим манёвром, а настоящей целью было скрытое наблюдение или кража чувствительной информации.
На фоне всего этого продолжает набирать обороты Для просмотра ссылки Войди
Исследование компании Trellix, основанное на данных из этой панели, пролило свет на то, кто именно стоит за атаками. Активнее других себя проявили участники с псевдонимами Iofikdis, PiotrBond и JamesCraig. Причём Китай оказался в топе, что довольно необычно: другие крупные группировки вроде Conti или Black Basta обычно избегают атак на китайскую территорию, опасаясь политических последствий.
LockBit, похоже, таких опасений не испытывает. Они целенаправленно атакуют промышленные и производственные компании в Китае, пренебрегая возможными дипломатическими последствиями. Этот сдвиг стратегии выделяет их среди других игроков.
Любопытно, что вслед за утечкой панельных данных Для просмотра ссылки Войди
Вся эта история напоминает: за внешней оболочкой хайпа и громких выкупов стоит куда более мрачная и запутанная реальность. Рынок цифрового вымогательства — это уже не просто криминальный стартап, а Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
