Giovedì la US Cybersecurity and Infrastructure Safety Company (CISA) ha rivelato che gli attori di ransomware stanno prendendo di mira le istanze di monitoraggio e gestione (RMM) senza pathelp senza patching per compromettere i clienti di un fornitore di software program di fatturazione senza nome.
“Questo incidente riflette uno schema più ampio di attori ransomware che prendono di mira le organizzazioni attraverso versioni non abbinate di SimpleHelp RMM dal gennaio 2025”, l’agenzia disse in un avviso.
All’inizio di quest’anno, SimpleHelp divulgato Un insieme di difetti (CVE-2024-57727, CVE-2024-57728 e CVE-2024-57726) che potrebbero comportare la divulgazione delle informazioni, l’escalation dei privilegi e l’esecuzione del codice remoto.
Da allora le vulnerabilità sono state sotto ripetuto sfruttamento In natura, anche da gruppi ransomware come Dragonforce, per violare gli obiettivi di interesse. Il mese scorso, Sophos ha rivelato che l’attore di SimpleHelp di un fornitore di servizi gestiti è stato accessibile dall’attore di minaccia che utilizza questi difetti e poi lo ha sfruttato per ruotare advert altri clienti a valle.
CISA ha affermato che le versioni di SimpleHelp 5.5.7 e in precedenza contengono più vulnerabilità, tra cui CVE-2024-57727, e che gli equipaggi di Ransomware lo stanno sfruttando per accedere alle istanze di simplehelp senza patch di clienti a valle per gli attacchi a doppia estorsione.
L’agenzia ha delineato le mitigazioni seguenti secondo cui le organizzazioni, inclusi i fornitori di servizi di terze parti che utilizzano SimpleHelp per connettersi ai clienti a valle, possono implementare per rispondere meglio all’attività ransomware –
- Identificare e isolare le istanze del server SimpleHelp da Web e aggiornarle all’ultima versione
- Avvisare i clienti a valle e istruire loro di intraprendere azioni per garantire i loro endpoint
- Condurre azioni di caccia alle minacce per gli indicatori di compromesso e monitorare per il traffico inbound e in uscita insoliti dal server SimpleHelp (per i clienti a valle)
- Scollegare i sistemi interessati da Web se sono stati crittografati da ransomware, reinstallare il sistema operativo e ripristinare i dati da un backup pulito
- Mantenere backup periodici puliti e offline
- Astenersi dall’esporre servizi remoti come il protocollo desktop remoto (RDP) sul Internet
CISA ha affermato di non incoraggiare le vittime a pagare riscatti in quanto non vi è alcuna garanzia che il decritto fornito dagli attori delle minacce aiuterà a recuperare i file.
“Inoltre, il pagamento può anche incoraggiare gli avversari a indirizzare ulteriori organizzazioni, incoraggiare altri attori criminali a impegnarsi nella distribuzione del ransomware e/o finanziare attività illecite”, ha aggiunto CISA.
L’attacco di ransomware nebbia distribuisce il software program di monitoraggio dei dipendenti
Lo sviluppo arriva come Symantec di proprietà di Broadcom dettagliata a Nebbia Attacco di ransomware che mira a un istituto finanziario senza nome in Asia con una combinazione di strumenti di pentesting a doppio utilizzo e open supply non osservati in altre intrusioni correlate al ransomware.
La nebbia è una variante ransomware per primo rilevato Nel maggio 2024. Come altre operazioni di ransomware, l’equipaggio motivato finanziariamente impiega Le credenziali e le vulnerabilità del sistema a compromesso della rete privata virtuale (VPN) per ottenere l’accesso alla rete di un’organizzazione e crittografano i dati, ma non prima di esfiltrarli.
Sequenze di infezione different hanno utilizzato file di scelta rapida Home windows (LNK) contenuti all’interno degli archivi ZIP, che vengono quindi distribuiti tramite e -mail e attacchi di phishing. L’esecuzione del file LNK porta al obtain di uno script PowerShell che è responsabile della caduta di un caricatore di ransomware contenente il payload di Locker Fog.
Gli attacchi sono anche caratterizzati dall’uso di tecniche avanzate per intensificare i privilegi ed eludere il rilevamento distribuendo codice dannoso direttamente in memoria e disabilitando gli strumenti di sicurezza. La nebbia è in grado di prendere di mira gli endpoint di Home windows e Linux.
Secondo Pattern Micro, advert aprile 2025, gli attori della minaccia della nebbia hanno affermato 100 vittime Sul suo sito di perdite di dati dall’inizio dell’anno, con la maggior parte delle vittime affiliate a settori tecnologici, di istruzione, produzione e trasporti.
“Gli aggressori hanno utilizzato un software program di monitoraggio dei dipendenti legittimo chiamato Syteca (precedentemente Ekran), che è altamente insolito “, Symantec disse. “Hanno anche implementato diversi strumenti di take a look at della penna open source-GC2, Adaptixe Stowaway – che non sono comunemente usati durante gli attacchi ransomware “.
Mentre il vettore di accesso iniziale esatto utilizzato nell’incidente è sconosciuto, è stato scoperto che gli attori della minaccia usano Stowaway, uno strumento proxy ampiamente usato di Gruppi di hacking cinesiper consegnare Syteca. Vale la pena notare che GC2 è stato usato negli attacchi realizzato dal gruppo di hacking sponsorizzato dallo stato cinese APT41 nel 2023.
Sono stati anche scaricati programmi legittimi come 7-Zip, FreeFilesync e Megasync per creare archivi di dati compressi per l’esfiltrazione di dati.
Un altro aspetto interessante degli attacchi è che gli aggressori hanno creato un servizio per stabilire la persistenza sulla rete, diversi giorni dopo la distribuzione del ransomware. Si cube che gli attori della minaccia abbiano trascorso circa due settimane prima di far cadere il ransomware.
“Questo è un passo insolito da vedere in un attacco ransomware, con attività dannose che di solito cedono su una rete una volta che gli aggressori hanno esfiltrato dati e hanno distribuito il ransomware, ma gli aggressori in questo incidente sembravano conservare l’accesso alla rete della vittima”, hanno detto i ricercatori di Symantec e Carbon Black.
Le tattiche non comuni hanno sollevato la possibilità che la società possa essere stata presa di mira per motivi di spionaggio e che gli attori delle minacce hanno distribuito il ransomware della nebbia o come una distrazione per mascherare i loro veri obiettivi o fare dei soldi veloci sul lato.
La perdita del pannello Lockbit rivela la Cina tra i più mirati
I risultati coincidono anche con le rivelazioni che il Lockbit Lo schema Ransomware-As-A-Service (RAAS) ha guadagnato circa $ 2,3 milioni negli ultimi sei mesi, indicando che il gruppo di criminalità e-crime continua a funzionare nonostante numerous battute d’arresto.
Inoltre, l’analisi di Trellix sul concentrating on geografico di Lockbit da dicembre 2024 advert aprile 2025 in base al Maggio 2025 perdita del pannello di amministrazione Ha scoperto la Cina per essere uno dei paesi più fortemente mirati dagli affiliati Iofikdis, Piotrbond e Jamescraig. Altri obiettivi di spicco includono Taiwan, Brasile e Turchia.
“La concentrazione di attacchi in Cina suggerisce un focus significativo su questo mercato, probabilmente a causa della sua ampia base industriale e settore manifatturiero”, il ricercatore della sicurezza Jambul Tologonov disse.
“A differenza dei gruppi di Black Basta e Conti Raas che occasionalmente sondano obiettivi cinesi senza crittografarli, Lockbit sembra disposto a operare all’interno dei confini cinesi e ignorare potenziali conseguenze politiche, segnando un’interessante divergenza nel loro approccio.”
La perdita del pannello affiliato ha anche spinto Lockbit advert annunciare una ricompensa monetaria per informazioni verificabili su “Xoxo da Praga”, un attore anonimo che ha rivendicato la responsabilità della perdita.
Inoltre, Lockbit sembra aver beneficiato del Scorgamento improvviso di RansomHub Verso la positive di marzo 2025, causando alcune delle affiliate di quest’ultimo, tra cui BaleyBeach e Guillaumeatkinson, per passare a Lockbit e costringerlo a riattivare le sue operazioni tra gli sforzi in corso per sviluppare la versione successiva del ransomware, Lockbit 5.0.
“Ciò che mostra veramente questa perdita è la realtà complessa e in definitiva meno glamour delle loro attività di ransomware illecite. Sebbene redditizia, è tutt’altro che un’operazione perfettamente orchestrata e massicciamente redditizia che vorrebbero che il mondo credesse”, ha concluso Tologonov.
