Не обновили SimpleHelp? Готовьтесь: хакеры сначала заберут ваши данные, потом зашифруют всё остальное
NewsMakerКто такой xoxo from Prague и зачем LockBit объявил за него охоту?
Американское агентство по кибербезопасности и защите инфраструктуры ( CISA ) официально предупредило: злоумышленники активно атакуют уязвимые версии SimpleHelp — инструмента удалённого мониторинга и администрирования, популярного среди поставщиков IT-услуг. Один из таких инцидентов затронул неназванного вендора, занимающегося биллингом в сфере коммунальных услуг, и, как оказалось, стал не частным случаем, а частью устойчивой и всё более агрессивной тенденции.
По данным CISA , начиная с января 2025 года, атаки на незащищённые установки SimpleHelp происходят систематически. Хакеры используют давно закрытые, но до сих пор массово не обновлённые уязвимости , чтобы получить доступ к инфраструктуре целевых компаний — особенно тех, что взаимодействуют с конечными клиентами через цепочку подрядчиков и MSP .
Сам разработчик SimpleHelp ранее в этом году раскрыл сразу три критические уязвимости — CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726. Все три дыры открывают довольно мрачные перспективы для тех, кто не спешит обновляться: через них возможны утечка информации, получение повышенных привилегий и даже удалённое выполнение произвольного кода. Фактически, злоумышленники получают полный контроль над атакуемой системой.
Один из наиболее известных случаев злоупотребления этими уязвимостями произошёл совсем недавно. Компания Sophos зафиксировала инцидент, в ходе которого злоумышленники скомпрометировали сервер SimpleHelp у одного из MSP и использовали его в качестве плацдарма для доступа к клиентским системам. Этот приём позволил атакующим развернуть полноценную цепочку заражения, перекидываясь от одного объекта к другому внутри партнёрской сети.
Особенно уязвимыми оказались установки SimpleHelp версии 5.5.7 и более ранние. Именно в них содержится эксплуатируемая CVE-2024-57727. CISA подчёркивает: вектор атаки направлен не только на непосредственные цели, но и на их клиентов — через те же незакрытые копии ПО, развёрнутые на периферии. Злоумышленники применяют приёмы двойного вымогательства : сначала крадут данные, затем шифруют инфраструктуру, угрожая обнародовать компромат, если не получат выкуп.
Чтобы снизить риски, агентство предлагает целый ряд практических шагов. Во-первых, изолировать уязвимые серверы SimpleHelp от интернета и обновить их до актуальной версии. Во-вторых, оперативно уведомить всех зависимых клиентов и дать им инструкции по укреплению своих конечных точек. Важно также провести активный хантинг: проанализировать журналы событий, отследить подозрительный входящий и исходящий трафик, особенно со стороны SimpleHelp.
Если заражение уже произошло, CISA советует немедленно отключить систему от сети, переустановить ОС и восстановить данные только с проверенных офлайн-бэкапов. Упор делается именно на изолированные копии: сетевые резервные хранилища часто также оказываются жертвой шифровальщиков. И, разумеется, не стоит оставлять открытым доступ к удалённым службам типа RDP — это один из главных входов для атакующих.
Свою позицию по поводу выкупа CISA не меняет: платить не стоит. Во-первых, это не гарантирует восстановления данных. Во-вторых, создаёт прецедент — злоумышленники получают средства, мотивацию и подтверждение эффективности схемы. А ещё — финансирование для следующей волны атак, возможно, ещё более разрушительных.
Пока одни группы продолжают ставить на масштабный вымогательский шантаж, другие используют рансомвар более изощрённо — например, как прикрытие для шпионской операции. Такую картину нарисовала компания Symantec, рассказав об атаке Fog на неназванную финансовую структуру в Азии.
Fog — относительно свежий игрок на сцене: его впервые зафиксировали в мае 2024 года. Механика распространения знакома: злоумышленники используют скомпрометированные VPN-учётки и известные уязвимости, чтобы проникнуть в сеть, выгрузить данные и только потом зашифровать инфраструктуру. Однако в данной атаке есть интересные отклонения от классического сценария.
Так, одной из альтернативных векторов заражения оказались ZIP-архивы с ярлыками Windows (файлы .LNK), рассылаемые через электронную почту и фишинговые сообщения. Активировав ярлык, жертва запускала PowerShell-скрипт, который в свою очередь загружал загрузчик с полезной нагрузкой — тем самым Fog-шифровальщиком.
Злоумышленники явно не экономили на инструментах. Они применяли целый арсенал продвинутых методов: от повышения привилегий до внедрения кода напрямую в память, минуя файловую систему. Это позволяет не только избежать срабатывания антивирусов , но и усложнить последующий анализ. При этом вредонос нацелен на обе платформы — Windows и Linux.
К настоящему моменту, по данным Trend Micro, группировка, стоящая за Fog, заявила о компрометации 100 организаций. Большинство жертв — из секторов технологий, образования, промышленности и транспорта. География — преимущественно Азия.
Одним из самых нестандартных шагов в этом инциденте стало использование легитимного ПО для мониторинга сотрудников — программы Syteca (ранее известной как Ekran). Такое приложение, встроенное в заражённую инфраструктуру, позволяло наблюдать за действиями персонала в режиме реального времени. Кроме того, применялись специфичные инструменты пентестинга с открытым исходным кодом: GC2, Adaptix и Stowaway.
Особый интерес вызывает Stowaway — инструмент-прокси, активно использующийся китайскими хак-группами. Именно через него, как считают исследователи, распространялась вышеупомянутая Syteca. А GC2, между прочим, ранее фигурировал в операциях группировки APT41, спонсируемой китайским государством.
Также фиксировалось скачивание вполне легальных утилит, таких как 7-Zip, Freefilesync и MegaSync. Они использовались для упаковки и выгрузки украденных данных. А уже через несколько дней после того, как рансомвар был развёрнут, злоумышленники установили отдельный сервис для закрепления в системе — шаг, крайне нетипичный для подобных атак. Обычно вымогатели покидают сеть сразу после завершения операции.
А здесь — наоборот: злоумышленники продолжили удерживать доступ к системе ещё как минимум неделю, что наводит на мысль о разведывательных мотивах. Возможно, шифровальщик был всего лишь отвлекающим манёвром, а настоящей целью было скрытое наблюдение или кража чувствительной информации.
На фоне всего этого продолжает набирать обороты LockBit — один из старейших представителей рынка Ransomware-as-a-Service . Несмотря на череду неудач, группировка за последние полгода получила около $2,3 млн. Особенно интересна недавняя утечка их административной панели: она показала, что среди ключевых целей LockBit оказались Китай, Тайвань, Бразилия и Турция.
Исследование компании Trellix, основанное на данных из этой панели, пролило свет на то, кто именно стоит за атаками. Активнее других себя проявили участники с псевдонимами Iofikdis, PiotrBond и JamesCraig. Причём Китай оказался в топе, что довольно необычно: другие крупные группировки вроде Conti или Black Basta обычно избегают атак на китайскую территорию, опасаясь политических последствий.
LockBit, похоже, таких опасений не испытывает. Они целенаправленно атакуют промышленные и производственные компании в Китае, пренебрегая возможными дипломатическими последствиями. Этот сдвиг стратегии выделяет их среди других игроков.
Любопытно, что вслед за утечкой панельных данных LockBit даже объявила вознаграждение за информацию о личности хакера под ником «xoxo from Prague», якобы ответственного за слив. Тем временем, к группе присоединились бывшие участники конкурирующего RansomHub, который внезапно свернул деятельность в марте 2025 года. Переход таких фигур, как BaleyBeach и GuillaumeAtkinson, помог LockBit перезапустить активность и ускорить разработку новой версии своего ПО — LockBit 5.0.
Вся эта история напоминает: за внешней оболочкой хайпа и громких выкупов стоит куда более мрачная и запутанная реальность. Рынок цифрового вымогательства — это уже не просто криминальный стартап, а сложная система с теневой конкуренцией , перетоком «кадров» и постоянной эволюцией методов.
Американское агентство по кибербезопасности и защите инфраструктуры ( CISA ) официально предупредило: злоумышленники активно атакуют уязвимые версии SimpleHelp — инструмента удалённого мониторинга и администрирования, популярного среди поставщиков IT-услуг. Один из таких инцидентов затронул неназванного вендора, занимающегося биллингом в сфере коммунальных услуг, и, как оказалось, стал не частным случаем, а частью устойчивой и всё более агрессивной тенденции.
По данным CISA , начиная с января 2025 года, атаки на незащищённые установки SimpleHelp происходят систематически. Хакеры используют давно закрытые, но до сих пор массово не обновлённые уязвимости , чтобы получить доступ к инфраструктуре целевых компаний — особенно тех, что взаимодействуют с конечными клиентами через цепочку подрядчиков и MSP .
Сам разработчик SimpleHelp ранее в этом году раскрыл сразу три критические уязвимости — CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726. Все три дыры открывают довольно мрачные перспективы для тех, кто не спешит обновляться: через них возможны утечка информации, получение повышенных привилегий и даже удалённое выполнение произвольного кода. Фактически, злоумышленники получают полный контроль над атакуемой системой.
Один из наиболее известных случаев злоупотребления этими уязвимостями произошёл совсем недавно. Компания Sophos зафиксировала инцидент, в ходе которого злоумышленники скомпрометировали сервер SimpleHelp у одного из MSP и использовали его в качестве плацдарма для доступа к клиентским системам. Этот приём позволил атакующим развернуть полноценную цепочку заражения, перекидываясь от одного объекта к другому внутри партнёрской сети.
Особенно уязвимыми оказались установки SimpleHelp версии 5.5.7 и более ранние. Именно в них содержится эксплуатируемая CVE-2024-57727. CISA подчёркивает: вектор атаки направлен не только на непосредственные цели, но и на их клиентов — через те же незакрытые копии ПО, развёрнутые на периферии. Злоумышленники применяют приёмы двойного вымогательства : сначала крадут данные, затем шифруют инфраструктуру, угрожая обнародовать компромат, если не получат выкуп.
Чтобы снизить риски, агентство предлагает целый ряд практических шагов. Во-первых, изолировать уязвимые серверы SimpleHelp от интернета и обновить их до актуальной версии. Во-вторых, оперативно уведомить всех зависимых клиентов и дать им инструкции по укреплению своих конечных точек. Важно также провести активный хантинг: проанализировать журналы событий, отследить подозрительный входящий и исходящий трафик, особенно со стороны SimpleHelp.
Если заражение уже произошло, CISA советует немедленно отключить систему от сети, переустановить ОС и восстановить данные только с проверенных офлайн-бэкапов. Упор делается именно на изолированные копии: сетевые резервные хранилища часто также оказываются жертвой шифровальщиков. И, разумеется, не стоит оставлять открытым доступ к удалённым службам типа RDP — это один из главных входов для атакующих.
Свою позицию по поводу выкупа CISA не меняет: платить не стоит. Во-первых, это не гарантирует восстановления данных. Во-вторых, создаёт прецедент — злоумышленники получают средства, мотивацию и подтверждение эффективности схемы. А ещё — финансирование для следующей волны атак, возможно, ещё более разрушительных.
Пока одни группы продолжают ставить на масштабный вымогательский шантаж, другие используют рансомвар более изощрённо — например, как прикрытие для шпионской операции. Такую картину нарисовала компания Symantec, рассказав об атаке Fog на неназванную финансовую структуру в Азии.
Fog — относительно свежий игрок на сцене: его впервые зафиксировали в мае 2024 года. Механика распространения знакома: злоумышленники используют скомпрометированные VPN-учётки и известные уязвимости, чтобы проникнуть в сеть, выгрузить данные и только потом зашифровать инфраструктуру. Однако в данной атаке есть интересные отклонения от классического сценария.
Так, одной из альтернативных векторов заражения оказались ZIP-архивы с ярлыками Windows (файлы .LNK), рассылаемые через электронную почту и фишинговые сообщения. Активировав ярлык, жертва запускала PowerShell-скрипт, который в свою очередь загружал загрузчик с полезной нагрузкой — тем самым Fog-шифровальщиком.
Злоумышленники явно не экономили на инструментах. Они применяли целый арсенал продвинутых методов: от повышения привилегий до внедрения кода напрямую в память, минуя файловую систему. Это позволяет не только избежать срабатывания антивирусов , но и усложнить последующий анализ. При этом вредонос нацелен на обе платформы — Windows и Linux.
К настоящему моменту, по данным Trend Micro, группировка, стоящая за Fog, заявила о компрометации 100 организаций. Большинство жертв — из секторов технологий, образования, промышленности и транспорта. География — преимущественно Азия.
Одним из самых нестандартных шагов в этом инциденте стало использование легитимного ПО для мониторинга сотрудников — программы Syteca (ранее известной как Ekran). Такое приложение, встроенное в заражённую инфраструктуру, позволяло наблюдать за действиями персонала в режиме реального времени. Кроме того, применялись специфичные инструменты пентестинга с открытым исходным кодом: GC2, Adaptix и Stowaway.
Особый интерес вызывает Stowaway — инструмент-прокси, активно использующийся китайскими хак-группами. Именно через него, как считают исследователи, распространялась вышеупомянутая Syteca. А GC2, между прочим, ранее фигурировал в операциях группировки APT41, спонсируемой китайским государством.
Также фиксировалось скачивание вполне легальных утилит, таких как 7-Zip, Freefilesync и MegaSync. Они использовались для упаковки и выгрузки украденных данных. А уже через несколько дней после того, как рансомвар был развёрнут, злоумышленники установили отдельный сервис для закрепления в системе — шаг, крайне нетипичный для подобных атак. Обычно вымогатели покидают сеть сразу после завершения операции.
А здесь — наоборот: злоумышленники продолжили удерживать доступ к системе ещё как минимум неделю, что наводит на мысль о разведывательных мотивах. Возможно, шифровальщик был всего лишь отвлекающим манёвром, а настоящей целью было скрытое наблюдение или кража чувствительной информации.
На фоне всего этого продолжает набирать обороты LockBit — один из старейших представителей рынка Ransomware-as-a-Service . Несмотря на череду неудач, группировка за последние полгода получила около $2,3 млн. Особенно интересна недавняя утечка их административной панели: она показала, что среди ключевых целей LockBit оказались Китай, Тайвань, Бразилия и Турция.
Исследование компании Trellix, основанное на данных из этой панели, пролило свет на то, кто именно стоит за атаками. Активнее других себя проявили участники с псевдонимами Iofikdis, PiotrBond и JamesCraig. Причём Китай оказался в топе, что довольно необычно: другие крупные группировки вроде Conti или Black Basta обычно избегают атак на китайскую территорию, опасаясь политических последствий.
LockBit, похоже, таких опасений не испытывает. Они целенаправленно атакуют промышленные и производственные компании в Китае, пренебрегая возможными дипломатическими последствиями. Этот сдвиг стратегии выделяет их среди других игроков.
Любопытно, что вслед за утечкой панельных данных LockBit даже объявила вознаграждение за информацию о личности хакера под ником «xoxo from Prague», якобы ответственного за слив. Тем временем, к группе присоединились бывшие участники конкурирующего RansomHub, который внезапно свернул деятельность в марте 2025 года. Переход таких фигур, как BaleyBeach и GuillaumeAtkinson, помог LockBit перезапустить активность и ускорить разработку новой версии своего ПО — LockBit 5.0.
Вся эта история напоминает: за внешней оболочкой хайпа и громких выкупов стоит куда более мрачная и запутанная реальность. Рынок цифрового вымогательства — это уже не просто криминальный стартап, а сложная система с теневой конкуренцией , перетоком «кадров» и постоянной эволюцией методов.