Кибершпионаж нового поколения: IT-админ может работать на Китай… сам того не зная
Кто такой xoxo from Prague и зачем LockBit объявил за него охоту?
Американское агентство CISA предупредило о массовых атаках на уязвимые версии SimpleHelp — популярного инструмента для удалённого администрирования, который активно используется IT-подрядчиками и MSP-компаниями. Хакеры используют давно закрытые, но не обновлённые уязвимости (CVE-2024-57726, -57727, -57728), чтобы получить доступ к инфраструктуре компаний и их клиентов.
Особенно уязвимы старые версии SimpleHelp 5.5.7 и ниже. Злоумышленники применяют двойное вымогательство: сперва крадут данные, затем шифруют систему, угрожая обнародовать информацию в случае отказа платить.
CISA рекомендует немедленно обновить ПО, изолировать уязвимые серверы, уведомить клиентов и тщательно проверить журналы событий. В случае заражения — отключить сеть, переустановить ОС и восстанавливать данные только из офлайн-бэкапов. Агентство настоятельно не советует платить выкуп, чтобы не финансировать дальнейшие атаки.
На этом фоне внимание привлекла группировка Fog, впервые замеченная в мае 2024 года. Она действует тоньше: проникает в сеть через уязвимые VPN, фишинг и заражённые ярлыки .LNK, а затем запускает PowerShell-скрипты. Вредоносная активность охватывает Windows и Linux, а в арсенале — утилиты для пентестинга (GC2, Adaptix, Stowaway), мониторинга сотрудников (Syteca), а также легальные программы (7-Zip, Freefilesync, MegaSync) для упаковки и выкачки данных.
В отличие от классических атак, злоумышленники продолжают удерживать доступ к заражённой инфраструктуре после шифрования, что указывает на шпионские цели.
Параллельно активизировалась группировка LockBit. По данным утечки их админпанели, они целенаправленно атакуют Китай, Тайвань, Бразилию и Турцию, не опасаясь политических последствий, в отличие от других групп. После взлома этой панели LockBit объявила награду за информацию о хакере под ником xoxo from Prague, которого подозревают в сливе данных.
Тем временем LockBit усиливается: к ним присоединились бывшие участники распавшейся группы RansomHub. Переход таких фигур, как BaleyBeach и GuillaumeAtkinson, позволил перезапустить разработку LockBit 5.0.
Рынок кибервымогательства становится всё сложнее: тут уже не просто грабежи, а целая теневая индустрия с конкуренцией, кадрами и постоянной эволюцией тактик.