Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Не обновили SimpleHelp? Готовьтесь: хакеры сначала заберут ваши данные, потом зашифруют всё остальное (http://txgate.io:443/showthread.php?t=51301403)

Artifact 06-15-2025 09:56 AM
<div id="post_message_797465">

Кто такой xoxo from Prague и зачем LockBit объявил за него охоту?<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/06/15/0048/3474/3202450/50/19815ff8bd.jpg"/><br/>
<br/>
Американское агентство по кибербезопасности и защите инфраструктуры ( CISA ) официально предупредило: злоумышленники активно атакуют уязвимые версии SimpleHelp — инструмента удалённого мониторинга и администрирования, популярного среди поставщиков IT-услуг. Один из таких инцидентов затронул неназванного вендора, занимающегося биллингом в сфере коммунальных услуг, и, как оказалось, стал не частным случаем, а частью устойчивой и всё более агрессивной тенденции.<br/>
<br/>
<a href="https://www.cisa.gov/news-events/alerts/2025/06/12/cisa-releases-cybersecurity-advisory-simplehelp-rmm-vulnerability" target="_blank">По данным CISA</a> , начиная с января 2025 года, атаки на незащищённые установки SimpleHelp происходят систематически. Хакеры используют давно закрытые, но до сих пор массово не обновлённые уязвимости , чтобы получить доступ к инфраструктуре целевых компаний — особенно тех, что взаимодействуют с конечными клиентами через цепочку подрядчиков и MSP .<br/>
<br/>
Сам разработчик SimpleHelp ранее в этом году раскрыл сразу три критические уязвимости — CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726. Все три дыры открывают довольно мрачные перспективы для тех, кто не спешит обновляться: через них возможны утечка информации, получение повышенных привилегий и даже удалённое выполнение произвольного кода. Фактически, злоумышленники получают полный контроль над атакуемой системой.<br/>
<br/>
Один из наиболее известных случаев злоупотребления этими уязвимостями произошёл совсем недавно. Компания Sophos зафиксировала инцидент, в ходе которого злоумышленники скомпрометировали сервер SimpleHelp у одного из <a href="https://www.securitylab.ru/news/521929.php" target="_blank">MSP и использовали его в качестве плацдарма</a> для доступа к клиентским системам. Этот приём позволил атакующим развернуть полноценную цепочку заражения, перекидываясь от одного объекта к другому внутри партнёрской сети.<br/>
<br/>
Особенно уязвимыми оказались установки SimpleHelp версии 5.5.7 и более ранние. Именно в них содержится эксплуатируемая CVE-2024-57727. CISA подчёркивает: вектор атаки направлен не только на непосредственные цели, но и на их клиентов — через те же незакрытые копии ПО, развёрнутые на периферии. Злоумышленники применяют приёмы <a href="https://www.securitylab.ru/analytics/538799.php" target="_blank">двойного вымогательства</a> : сначала крадут данные, затем шифруют инфраструктуру, угрожая обнародовать компромат, если не получат выкуп.<br/>
<br/>
Чтобы снизить риски, агентство предлагает целый ряд практических шагов. Во-первых, изолировать уязвимые серверы SimpleHelp от интернета и обновить их до актуальной версии. Во-вторых, оперативно уведомить всех зависимых клиентов и дать им инструкции по укреплению своих конечных точек. Важно также провести активный хантинг: проанализировать журналы событий, отследить подозрительный входящий и исходящий трафик, особенно со стороны SimpleHelp.<br/>
<br/>
Если заражение уже произошло, CISA советует немедленно отключить систему от сети, переустановить ОС и восстановить данные только с проверенных офлайн-бэкапов. Упор делается именно на изолированные копии: сетевые резервные хранилища часто также оказываются жертвой шифровальщиков. И, разумеется, не стоит оставлять открытым доступ к удалённым службам типа RDP — это один из главных входов для атакующих.<br/>
<br/>
Свою позицию по поводу выкупа CISA не меняет: платить не стоит. Во-первых, это не гарантирует восстановления данных. Во-вторых, создаёт прецедент — злоумышленники получают средства, мотивацию и подтверждение эффективности схемы. А ещё — финансирование для следующей волны атак, возможно, ещё более разрушительных.<br/>
<br/>
Пока одни группы продолжают ставить на масштабный вымогательский шантаж, другие используют <a href="https://www.securitylab.ru/analytics/538799.php" target="_blank">рансомвар </a>более изощрённо — например, как прикрытие для шпионской операции. Такую картину нарисовала компания Symantec, рассказав об атаке Fog на неназванную финансовую структуру в Азии.<br/>
<br/>
Fog — относительно свежий игрок на сцене: его впервые зафиксировали в мае 2024 года. Механика распространения знакома: злоумышленники используют скомпрометированные VPN-учётки и известные уязвимости, чтобы проникнуть в сеть, выгрузить данные и только потом зашифровать инфраструктуру. Однако в данной атаке есть интересные отклонения от классического сценария.<br/>
<br/>
Так, одной из альтернативных векторов заражения оказались ZIP-архивы с ярлыками Windows (файлы .LNK), рассылаемые через электронную почту и фишинговые сообщения. Активировав ярлык, жертва запускала PowerShell-скрипт, который в свою очередь загружал загрузчик с полезной нагрузкой — тем самым Fog-шифровальщиком.<br/>
<br/>
Злоумышленники явно не экономили на инструментах. Они применяли целый арсенал продвинутых методов: от повышения привилегий до внедрения кода напрямую в память, минуя файловую систему. Это позволяет не только избежать срабатывания <a href="https://www.ptsecurity.com/ru-ru/products/edr/" target="_blank">антивирусов </a>, но и усложнить последующий анализ. При этом вредонос нацелен на обе платформы — Windows и Linux.<br/>
<br/>
К настоящему моменту, по данным Trend Micro, группировка, стоящая за Fog, заявила о компрометации 100 организаций. Большинство жертв — из секторов технологий, образования, промышленности и транспорта. География — преимущественно Азия.<br/>
<br/>
Одним из самых нестандартных шагов в этом инциденте стало использование легитимного ПО для мониторинга сотрудников — программы Syteca (ранее известной как Ekran). Такое приложение, встроенное в заражённую инфраструктуру, позволяло наблюдать за действиями персонала в режиме реального времени. Кроме того, применялись специфичные инструменты <a href="https://www.ptsecurity.com/ru-ru/about/news/kontroliruemyj-avtomaticheskij-pentest-s-pt-dephaze-positive-technologies-vyhodit-na-rynok-produktov-dlya-simulyaczii-atak/" target="_blank">пентестинга </a>с открытым исходным кодом: GC2, Adaptix и Stowaway.<br/>
<br/>
Особый интерес вызывает Stowaway — инструмент-прокси, активно использующийся китайскими хак-группами. Именно через него, как считают исследователи, распространялась вышеупомянутая Syteca. А GC2, между прочим, ранее фигурировал в операциях группировки APT41, спонсируемой китайским государством.<br/>
<br/>
Также фиксировалось скачивание вполне легальных утилит, таких как 7-Zip, Freefilesync и MegaSync. Они использовались для упаковки и выгрузки украденных данных. А уже через несколько дней после того, как рансомвар был развёрнут, злоумышленники установили отдельный сервис для закрепления в системе — шаг, крайне нетипичный для подобных атак. Обычно вымогатели покидают сеть сразу после завершения операции.<br/>
<br/>
А здесь — наоборот: злоумышленники продолжили удерживать доступ к системе ещё как минимум неделю, что наводит на мысль о разведывательных мотивах. Возможно, шифровальщик был всего лишь отвлекающим манёвром, а настоящей целью было скрытое наблюдение или кража чувствительной информации.<br/>
<br/>
На фоне всего этого продолжает набирать обороты <a href="https://www.securitylab.ru/news/tags/LockBit/" target="_blank">LockBit </a>— один из старейших представителей рынка <a href="https://www.securitylab.ru/glossary/raas/" target="_blank">Ransomware-as-a-Service</a> . Несмотря на череду неудач, группировка за последние полгода получила около $2,3 млн. Особенно интересна недавняя утечка их административной панели: она показала, что среди ключевых целей LockBit оказались Китай, Тайвань, Бразилия и Турция.<br/>
<br/>
Исследование компании Trellix, основанное на данных из этой панели, пролило свет на то, кто именно стоит за атаками. Активнее других себя проявили участники с псевдонимами Iofikdis, PiotrBond и JamesCraig. Причём Китай оказался в топе, что довольно необычно: другие крупные группировки вроде Conti или Black Basta обычно избегают атак на китайскую территорию, опасаясь политических последствий.<br/>
<br/>
LockBit, похоже, таких опасений не испытывает. Они целенаправленно атакуют промышленные и производственные компании в Китае, пренебрегая возможными дипломатическими последствиями. Этот сдвиг стратегии выделяет их среди других игроков.<br/>
<br/>
Любопытно, что вслед за утечкой панельных данных<a href="https://www.securitylab.ru/news/546265.php" target="_blank"> LockBit даже объявила вознаграждение</a> за информацию о личности хакера под ником «xoxo from Prague», якобы ответственного за слив. Тем временем, к группе присоединились бывшие участники конкурирующего RansomHub, который внезапно свернул деятельность в марте 2025 года. Переход таких фигур, как BaleyBeach и GuillaumeAtkinson, помог LockBit перезапустить активность и ускорить разработку новой версии своего ПО — LockBit 5.0.<br/>
<br/>
Вся эта история напоминает: за внешней оболочкой хайпа и громких выкупов стоит куда более мрачная и запутанная реальность. Рынок цифрового вымогательства — это уже не просто криминальный стартап, а <a href="https://www.securitylab.ru/news/532969.php" target="_blank">сложная система с теневой конкуренцией</a> , перетоком «кадров» и постоянной эволюцией методов.<br/>
<br/>
<a href="https://www.securitylab.ru/news/560396.php" target="_blank">@ SecurityLab.ru</a>
</div>


All times are GMT. The time now is 11:13 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.