Ransomware qrupları SimpleHelp RMM vasitəsilə hədəf alır

ABŞ-ın Cybersecurity and Infrastructure Security Agency (CISA) xəbərdar edir ki, ransomware hücum edənlər SimpleHelp RMM (Remote Monitoring and Management) proqramındakı CVE-2024-57727 adlı kritik boşluqdandır istifadə edərək minlərlə downstream (əlaqəli) müştərilərini hədəf alır

Bu boşluq, path traversal tipli bir zəiflikdir ki, autentifikasiyasız hücumçunun SimpleHelp serverindən istənilən faylı, məsələn konfiqurasiya və istifadəçi parolu fayllarını ələ keçirməsinə imkan verir. Problemin yayılması 2025-ci ilin yanvar ayından başlayıb və hələ də geniş şəkildə istismar olunur.

Ransomware qrupları, SimpleHelp vasitəsilə birinci mərhələdə giriş əldə edir, sonra icraedici kod yerləşdirərək “double extortion” (ikiqat fidyə) taktikası ilə həm məlumatları şifrələyib, həm də onları ifşa etmək üçün təzyiq edirlər. Bu hücum nümunə olaraq utilities billing (kommunal xidmətlər) təminatçısının downstream müştərilərinə qarşı həyata keçirilib .

CISA-nın tövsiyələri

  1. Təhlükə aşkarlanması və zərərli fəaliyyəti izləmək
    • path traversal exploit dəlilləri yoxlanmalı, serverconfig.xmlserviceconfig.xml fayl strukturundan anomaliyalar aşkar edilməli.
  2. Dərhal patch və upgrade
    • SimpleHelp 5.5.7 və əvvəlki versiyalar yenilənməlidir. Həmin proqram internetə açıqsa, ayrıca ayrı serverə çəkilməli və ya söndürülməlidir .
  3. Offline backup və RDP məhdudiyyətləri
    • Məlumatların təmiz backup’ı saxlanmalı, RDP kimi uzaq girişi olan protokollar internetə açıq olmamalıdır .
  4. Zincir boyu koordinasiya
    • Üçüncü tərəf vendorlar ilə SBOM (Software Bill of Materials) daxil olmaqla təhlükəsizlik kontrolleri tətbiq olunmalı, patch rəhbərliyi barədə əlaqə yaradılmalıdır .
  5. İnsident idarəetməsi
    • Hücum təsdiq edilsə, sistem internet bağlantısından kənara çıxarılmalı, təmiz OS yenidən qurulmalı və dayanıqlı backup-dan bərpa edilməlidir .
    • Hücumlar dərhal FBI, IC3, CISA-ya bildirilməlidir

RMM alətlərinə diqqət

SimpleHelp kimi RMM alətləri, idarəçi uğursuzluğu nəticəsində birdən çox sistemin təyinatı ilə risk daşıyır. FBI və CISA həmçinin Play (PlayCrypt) ransomware kimi hücum qruplarının SimpleHelp və oxşar RMM zəifliklərindən istifadə etdiyini qeyd edir .

Newsletter

Enter your email address below and subscribe to our newsletter

Leave a Reply

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

Trending now

İnternetsiz işləyən mesajlaşma tətbiqi ‘Bitchat’
Trojan virusu nədir? Necə işləyir və necə qorunmalı?
Ransomware qrupları SimpleHelp RMM vasitəsilə hədəf alır
Telefonunuzdakı Gizli Təhlükə – APK Faylları