آژانس امنیت سایبری و زیرساخت آمریکا (CISA) اعلام کرد که مهاجمان باج‌افزار در حال هدف قرار دادن نسخه‌های وصله نشده نرم‌افزار SimpleHelp برای نظارت و مدیریت از راه دور هستند تا مشتریان یک ارائه‌دهنده نرم‌افزار صورتحساب خدمات شهری را به خطر بیندازند.

این آژانس در اطلاعیه‌ای اعلام کرد: “این حادثه نشان‌دهنده الگوی گسترده‌تری از حملات باج‌افزار به سازمان‌ها از طریق نسخه‌های وصله نشده SimpleHelp از ژانویه ۲۰۲۵ است.”

اوایل امسال، SimpleHelp مجموعه‌ای از آسیب‌پذیری‌ها (CVE-2024-57727، CVE-2024-57728 و CVE-2024-57726) را افشا کرد که می‌توانند منجر به افشای اطلاعات، افزایش سطح دسترسی و اجرای کد از راه دور شوند. این آسیب‌پذیری‌ها بارها توسط گروه‌های باج‌افزار مانند DragonForce مورد سوءاستفاده قرار گرفته‌اند.

ماه گذشته، Sophos فاش کرد که مهاجمان با استفاده از این نقص‌ها به SimpleHelp یک ارائه‌دهنده خدمات مدیریت شده دسترسی پیدا کرده و سپس از آن برای نفوذ به مشتریان دیگر استفاده کردند.

CISA اعلام کرد که نسخه‌های SimpleHelp 5.5.7 و قدیمی‌تر حاوی آسیب‌پذیری‌های متعددی هستند و گروه‌های باج‌افزار از آنها برای دسترسی به نمونه‌های وصله نشده مشتریان و انجام حملات اخاذی دوگانه استفاده می‌کنند.

این آژانس راهکارهای زیر را برای سازمان‌ها ارائه داده است:

• شناسایی و جداسازی سرورهای SimpleHelp از اینترنت و به‌روزرسانی آنها به آخرین نسخه
• اطلاع‌رسانی به مشتریان و دستورالعمل برای ایمن‌سازی نقاط پایانی
• انجام اقدامات شکار تهدید برای شناسایی نشانه‌های نفوذ
• قطع اتصال سیستم‌های آلوده از اینترنت در صورت رمزگذاری توسط باج‌افزار
• نگهداری پشتیبان‌های دوره‌ای تمیز و آفلاین
• خودداری از قرار دادن خدمات از راه دور مانند RDP در معرض وب

CISA توصیه کرد که قربانیان باج را پرداخت نکنند زیرا تضمینی وجود ندارد که ابزار رمزگشایی ارائه شده توسط مهاجمان به بازیابی فایل‌ها کمک کند.

حمله باج‌افزار Fog با استفاده از نرم‌افزار نظارت بر کارمندان

Symantec جزئیات حمله باج‌افزار Fog به یک موسسه مالی در آسیا را با ترکیبی از ابزارهای تست نفوذ منبع باز که در سایر نفوذهای باج‌افزار مشاهده نشده بود، شرح داد.

Fog نوعی باج‌افزار است که اولین بار در می ۲۰۲۴ شناسایی شد. این گروه از اعتبارنامه‌های VPN به خطر افتاده و آسیب‌پذیری‌های سیستم برای دسترسی به شبکه سازمان و رمزگذاری داده‌ها استفاده می‌کند.

مهاجمان از نرم‌افزار قانونی نظارت بر کارمندان به نام Syteca استفاده کردند که بسیار غیرمعمول است. آنها همچنین چندین ابزار تست نفوذ منبع باز مانند GC2، Adaptix و Stowaway را که معمولاً در حملات باج‌افزار استفاده نمی‌شوند، مستقر کردند.

جنبه جالب این حملات این است که مهاجمان چند روز پس از استقرار باج‌افزار، سرویسی برای حفظ دسترسی پایدار به شبکه ایجاد کردند. مهاجمان حدود دو هفته قبل از استقرار باج‌افزار در شبکه حضور داشتند.

محققان Symantec گفتند: “این یک گام غیرمعمول در حمله باج‌افزار است. معمولاً فعالیت مخرب پس از سرقت داده‌ها و استقرار باج‌افزار متوقف می‌شود، اما مهاجمان در این حادثه به نظر می‌رسید می‌خواستند دسترسی به شبکه قربانی را حفظ کنند.”

نشت پنل LockBit نشان می‌دهد چین در میان اهداف اصلی است

تحلیل Trellix از هدف‌گیری جغرافیایی LockBit از دسامبر ۲۰۲۴ تا آوریل ۲۰۲۵ بر اساس نشت پنل مدیریت در می ۲۰۲۵ نشان داد که چین یکی از کشورهایی است که بیشترین هدف حملات وابستگان بوده است.

سایر اهداف برجسته شامل تایوان، برزیل و ترکیه هستند. تمرکز حملات در چین احتمالاً به دلیل پایگاه صنعتی بزرگ و بخش تولید این کشور است.

نشت پنل وابسته همچنین باعث شد LockBit جایزه‌ای پولی برای اطلاعات قابل تأیید درباره “xoxo از پراگ” اعلام کند که مسئولیت نشت را بر عهده گرفته بود.

LockBit از توقف ناگهانی RansomHub در پایان مارس ۲۰۲۵ بهره برد و باعث شد برخی از وابستگان آن به LockBit منتقل شوند و این گروه را وادار به فعال‌سازی مجدد عملیات خود در میان تلاش‌ها برای توسعه نسخه بعدی باج‌افزار، LockBit 5.0 کند.

محقق امنیتی Jambul Tologonov نتیجه‌گیری کرد: “این نشت واقعیت پیچیده و در نهایت کمتر جذاب فعالیت‌های غیرقانونی باج‌افزار آنها را نشان می‌دهد. در حالی که سودآور است، اما به دور از عملیات کاملاً هماهنگ و بسیار سودآوری است که می‌خواهند جهان باور کند.”