Хакеры используют уязвимости SimpleHelp для двойного вымогательства — под угрозой техкомпании и финсектор

Хакерские группировки начали активно эксплуатировать уязвимости в системах удалённого администрирования SimpleHelp, атакуя организации через уязвимые инстансы программы. Особенно опасной эту угрозу делает факт, что жертвами становятся не только конечные пользователи, но и их клиенты — благодаря цепочке доступа.

Как отмечает Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), взломщики применяют известные, но до сих пор не устранённые уязвимости (CVE-2024-57726, -57727 и -57728), позволяющие им выполнять произвольный код, повышать привилегии и похищать информацию. Обнаруженные случаи компрометации включают атаки на клиентов поставщика софта для выставления счетов и Managed Service Provider, чьи SimpleHelp-серверы были взломаны, а затем использованы как «трамплин» к другим сетям.

По данным The Hacker News, злоумышленники всё чаще применяют схему двойного вымогательства: сначала крадут данные, затем шифруют и требуют плату как за дешифровку, так и за молчание.

Интересно, что параллельно эксперты Symantec зафиксировали атаку с использованием нового шифровальщика Fog — на этот раз в финансовом секторе Азии. Помимо классических инструментов проникновения, злоумышленники применили легальное ПО для мониторинга сотрудников Syteca (ранее известное как Ekran), а также малораспространённые пентест-инструменты GC2, Adaptix и Stowaway. Хакеры выждали почти две недели после проникновения, прежде чем активировать шифровальщик — что говорит либо о промышленном шпионаже, либо о многоэтапной атаке с финансовым уклоном.

Аналитики также отмечают возросшую активность группировки LockBit, которая после утечки своей админ-панели активно наращивает присутствие — в том числе за счёт бывших участников RansomHub. Особенно активно атакуются Китай, Тайвань, Бразилия и Турция. LockBit, в отличие от других группировок, не стесняется действовать в КНР, несмотря на политические риски.