Ransomware -bendes maken gebruik gemaakt

Cyberbeveiliging
Ransomware Gangs Exploit Unpatched SimpleHelp Flaws

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag bekendgemaakt dat ransomware -actoren zich richten op ongecontroleerde SimpleHelp Remote Monitoring and Management (RMM) -instanties om klanten van een niet -genoemde softwareprovider voor utility te compromitteren.

“Dit incident weerspiegelt een breder patroon van ransomware -actoren die zich richten op organisaties via niet -gepatchte versies van SimpleHelp RMM sinds januari 2025,” zei het bureau in een advies.

Eerder dit jaar onthulde SimpleHelp een reeks fouten (CVE-2024-57727, CVE-2024-57728 en CVE-2024-57726) die zou kunnen leiden tot informatie-openbaarmaking, escalatie van privileges en externe code-uitvoering.

De kwetsbaarheden zijn sindsdien in het wild herhaaldelijk exploitatie gekomen, inclusief door ransomware -groepen zoals Dragonforce, om interessante doelen te schenden. Vorige maand onthulde Sophos dat de ingezette SimpleHelp van een managed serviceprovider toegankelijk was door de dreigingsacteur die deze fouten gebruikte en vervolgens gebruikte om te draaien naar andere stroomafwaartse klanten.

CISA zei dat SimpleHelP-versies 5.5.7 en eerder meerdere kwetsbaarheden bevatten, waaronder CVE-2024-57727, en dat de ransomware-bemanningen het exploiteren om toegang te krijgen tot de niet-geplande simplehelp-instanties van stroomafwaartse klanten voor dubbele afpersingsaanvallen.

Het bureau heeft de onderstaande mitigaties geschetst dat organisaties, waaronder externe serviceproviders die gebruik maken van SimpleHelp om verbinding te maken met stroomafwaartse klanten, kunnen implementeren om beter te reageren op de ransomware -activiteit –

  • Identificeer en isoleer SimpleHelp -serverinstanties van internet en werk ze bij naar de nieuwste versie
  • Stel stroomafwaartse klanten op de hoogte en instrueer hen om acties te ondernemen om hun eindpunten te beveiligen
  • Voer dreigingsjachtacties uit voor indicatoren van compromis en monitor voor ongebruikelijke inkomende en uitgaande verkeer van de SimpleHelp -server (voor stroomafwaartse klanten)
  • Koppel getroffen systemen los van internet als ze zijn gecodeerd door ransomware, installeer het besturingssysteem opnieuw en herstel gegevens van een schone back -up
  • Handhaaf periodieke schone, offline back -ups
  • Afstand van externe services zoals Remote Desktop Protocol (RDP) op internet blootgesteld

CISA zei dat het slachtoffers niet aanmoedigt om losgeld te betalen, omdat er geen garantie is dat de decrypor die door de dreigingsactoren wordt verstrekt, zal helpen de bestanden te herstellen.

“Bovendien kan de betaling ook tegenstanders aanmoedigen om aanvullende organisaties te richten, andere criminele actoren aan te moedigen om deel te nemen aan de verdeling van ransomware en/of illegale activiteiten te financieren,” voegde CISA eraan toe.

Fog ransomware -aanval implementeert software voor werknemersbewaking

De ontwikkeling komt als een Broadcom-eigendom Symantec gedetailleerd een mist-ransomware-aanval gericht op een niet nader genoemde financiële instelling in Azië met een combinatie van dual-use en open-source pentesting-tools die niet worden waargenomen in andere ransomware-gerelateerde intrusies.

FOG is een ransomware -variant die eerst wordt gedetecteerd in mei 2024. Net als andere ransomware -activiteiten heeft de financieel gemotiveerde bemanning een gecompromitteerde virtuele private netwerk (VPN) -referenties en systeemkwetsbaarheden om toegang te krijgen tot het netwerk van een organisatie en gegevens te verslippen, maar niet voordat deze wordt geëxfiltreerd.

Alternatieve infectiesequenties hebben Windows Sortcut (LNK) -bestanden gebruikt in zip -archieven, die vervolgens worden gedistribueerd via e -mail en phishing -aanvallen. Het uitvoeren van het LNK -bestand leidt tot het downloaden van een PowerShell -script dat verantwoordelijk is voor het laten vallen van een ransomware -lader met de FOG -locker -lading.

De aanvallen worden ook gekenmerkt door het gebruik van geavanceerde technieken om privileges te escaleren en detectie te ontwijken door kwaadaardige code rechtstreeks in geheugen te implementeren en beveiligingshulpmiddelen uit te schakelen. Fog is in staat om zowel Windows als Linux -eindpunten te richten.

Volgens Trend Micro hebben de acteurs van de Fog Threat -dreiging vanaf april 2025 al sinds het begin van het jaar 100 slachtoffers opgeëist op zijn gegevensleksite, met een meerderheid van de slachtoffers geassocieerd met technologie-, onderwijs-, productie- en transportsectoren.

“De aanvallers gebruikten een legitieme werknemersbewakingssoftware genaamd Syteca (voorheen Ekran), wat zeer ongebruikelijk is,” zei Symantec. “Ze hebben ook verschillende open-source pentetesthulpmiddelen geïmplementeerd-GC2, Adaptix en Stowaway-die niet vaak worden gebruikt tijdens ransomware-aanvallen.”

Hoewel de exacte initiële toegangsvector die bij het incident wordt gebruikt, onbekend is, is de dreigingsacteurs gevonden om Stowaway te gebruiken, een proxy -tool die veel wordt gebruikt door Chinese hackgroepen, om Syteca te leveren. Het is vermeldenswaard dat GC2 is gebruikt bij aanvallen die zijn uitgevoerd door de Chinese door de staat gesponsorde hackgroep APT41 in 2023.

Ook gedownload waren legitieme programma’s zoals 7-Zip, FreefileSync en Megasync om gecomprimeerde data-archieven te maken voor gegevensuitvoer.

Een ander interessant aspect van de aanvallen is dat de aanvallers een service hebben gecreëerd om doorzettingsvermogen op het netwerk te vestigen, enkele dagen nadat de ransomware was geïmplementeerd. De dreigingsacteurs zouden ongeveer twee weken hebben doorgebracht voordat ze de ransomware laten vallen.

“Dit is een ongebruikelijke stap om te zien in een ransomware -aanval, waarbij kwaadwillende activiteit meestal op een netwerk houdt zodra de aanvallers gegevens hebben geëxfiltreerd en de ransomware hebben geïmplementeerd, maar de aanvallers in dit incident leken de toegang tot het netwerk van het slachtoffer te willen behouden,” zeiden Symantec en koolstofzwarte onderzoekers.

De ongewone tactieken hebben de mogelijkheid verhoogd dat het bedrijf om spionagedachten het doelwit kan zijn, en dat de dreigingsactoren de mistransomware hebben ingezet als afleiding om hun ware doelen te maskeren of om snel geld aan de kant te verdienen.

Lockbit -paneel lek onthult China onder de meest gerichte

De bevindingen vallen ook samen met onthullingen dat de Lockbit Ransomware-as-a-Service (RAAS) -regeling binnen de afgelopen zes maanden ongeveer $ 2,3 miljoen opleverde, wat aangeeft dat de e-crime-groep ondanks verschillende tegenslagen blijft werken.

Wat meer is, de analyse van Trellix van Lockbit’s geografische targeting van december 2024 tot april 2025 op basis van het lek van mei 2025 Admin Panel heeft China ontdekt om een ​​van de zwaarst gerichte landen te zijn door affiliaten Iofikdis, Piotrbond en Jamescraig. Andere prominente doelen zijn Taiwan, Brazilië en Turkije.

“De concentratie van aanvallen in China suggereert een belangrijke focus op deze markt, mogelijk vanwege de grote industriële basis- en productiesector,” zei beveiligingsonderzoeker Jambul Tologonov.

“In tegenstelling tot Black Basta en Conti RAAS -groepen die af en toe Chinese doelen onderzoeken zonder ze te coderen, lijkt Lockbit bereid te opereren binnen Chinese grenzen en mogelijke politieke gevolgen te negeren, wat een interessante divergentie in hun aanpak markeert.”

Het lek van het partnerpaneel heeft ook aangezet Lockbit om een ​​monetaire beloning aan te kondigen voor verifieerbare informatie over “Xoxo van Praag”, een anonieme acteur die de verantwoordelijkheid voor het lek opeiste.

Bovendien lijkt Lockbit te hebben geprofiteerd van de plotselinge stopzetting van RansomHub tegen het einde van maart 2025, waardoor enkele van de gelieerde ondernemingen van deze laatste, waaronder Baleybeach en Guillaumeatkinson, overstapte om de activiteiten te laten verlopen en de volgende inspanningen te ontwikkelen om de volgende versie van de Ransomware, de Ransomware, de Ransomware te ontwikkelen.

“Wat dit lek echt toont, is de complexe en uiteindelijk minder glamoureuze realiteit van hun illegale ransomware -activiteiten. Hoewel het winstgevend is, is het verre van de perfect georkestreerde, massaal lucratieve operatie die ze willen dat de wereld gelooft dat het is,” concludeerde Tologonov.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Een ander Google -idee bijt het stof

Exynos 2600 prototype -productie begint

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]