Хакеры используют уязвимости SimpleHelp для двойного вымогательства — под угрозой техкомпании и финсектор
Хакерские группировки начали активно эксплуатировать уязвимости в системах удалённого администрирования SimpleHelp, атакуя организации через уязвимые инстансы программы. Особенно опасной эту угрозу делает факт, что жертвами становятся не только конечные пользователи, но и их клиенты — благодаря цепочке доступа.
Как отмечает Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), взломщики применяют известные, но до сих пор не устранённые уязвимости (CVE-2024-57726, -57727 и -57728), позволяющие им выполнять произвольный код, повышать привилегии и похищать информацию. Обнаруженные случаи компрометации включают атаки на клиентов поставщика софта для выставления счетов и Managed Service Provider, чьи SimpleHelp-серверы были взломаны, а затем использованы как «трамплин» к другим сетям.
По данным The Hacker News, злоумышленники всё чаще применяют схему двойного вымогательства: сначала крадут данные, затем шифруют и требуют плату как за дешифровку, так и за молчание.
Интересно, что параллельно эксперты Symantec зафиксировали атаку с использованием нового шифровальщика Fog — на этот раз в финансовом секторе Азии. Помимо классических инструментов проникновения, злоумышленники применили легальное ПО для мониторинга сотрудников Syteca (ранее известное как Ekran), а также малораспространённые пентест-инструменты GC2, Adaptix и Stowaway. Хакеры выждали почти две недели после проникновения, прежде чем активировать шифровальщик — что говорит либо о промышленном шпионаже, либо о многоэтапной атаке с финансовым уклоном.
Аналитики также отмечают возросшую активность группировки LockBit, которая после утечки своей админ-панели активно наращивает присутствие — в том числе за счёт бывших участников RansomHub. Особенно активно атакуются Китай, Тайвань, Бразилия и Турция. LockBit, в отличие от других группировок, не стесняется действовать в КНР, несмотря на политические риски.
похожие материалы
Роскомнадзор назвал страны-источники вредоносного трафика
Роскомнадзор сообщил, что доля зарубежного вредоносного трафика, поступающего в Россию, во втором полугодии 2025 года оставалась стабильно высокой.
Мошенники захватывают опубликованные домены Snap Email для распространения вредоносного ПО
Исследователи по кибербезопасности обнаружили новую тактику злоумышленников, которые используют захваченные опубликованные домены проекта Snap Email для размещения вредоносного ПО и фишинговых материалов.
Исследователи «перехватили» куки у авторов одного из крупнейших cookie-стилеров
Специалисты по кибербезопасности из CyberArk Labs рассказали о необычном случае исследования вредоносного ПО - им удалось извлечь активные session-cookies из инфраструктуры самого стилера, который предназначен для кражи куки у пользователей.
Приложения в App Store сливают данные пользователей
Исследователи обнаружили в App Store сотни приложений, сливающих пользовательские данные — от имён и адресов электронной почты до истории чатов.
Мошенники используют игру в кости в Telegram для обмана пользователей
В мессенджере Telegram злоумышленники начали применять схему обмана, основанную на виртуальной игре в кости, чтобы выманивать у людей деньги и личные данные.
Автоматизация инфраструктуры стала удобнее: клиентам Astra Automation доступна Ansible-коллекция для управления VMmanager
«Группа Астра» сообщает о новой интеграции платформы Astra Automation.
МВД предупредило о мошенничестве с совместными поездками и фейковыми чатами
В начале 2026 года мошенники начали активно использовать схему обмана, связанную с совместными поездками и поиском попутчиков.
Согласно исследованию OpenRouter, модели искусственного интеллекта из Китая становятся все более популярными
В 2024 году доля ИИ из Китая на мировом рынке составляла всего 1%, но в ноябре 2025 года она уже выросла до 15%.
Мошенники готовятся атаковать бизнес в России на фоне повышения ставки НДС
Мошенники начали готовиться к новой волне атак на российские компании на фоне повышения базовой ставки НДС до 22% с 1 января 2026 года.
Google и Mandiant выпустили «rainbow tables», чтобы ускорить отказ от протокола Net-NTLMv1
Специалисты по кибербезопасности из Google Threat Intelligence Group и Mandiant опубликовали большой набор так называемых «rainbow tables» для протокола аутентификации Net-NTLMv1.