Майнинг, шифрование, удалённый доступ: ошибка в TeamCity стала фатальной для десятков организаций

Злоумышленники продолжают активно эксплуатировать уязвимости в программном обеспечении JetBrains TeamCity, развёртывая вымогательское ПО, майнеры криптовалют, маяки Cobalt Strike и трояны для удалённого доступа Spark RAT.

Ключевой недостаток безопасности, который чаще всего используют злоумышленники, имеет идентификатор CVE-2024-27198 (9.8 по шкале CVSS). Данная брешь позволяет обходить аутентификацию в веб-компоненте TeamCity, выполнять произвольный код и брать серверы под контроль, что ставит под угрозу безопасность данных. Впервые мы писали об этой уязвимости в начале марта.

В своём недавнем отчёте эксперты Trend Micro отмечают, что после получения доступа, атакующие устанавливают вредоносное ПО, способное выполнять команды удалённо, включая развёртывание дополнительных угроз. Одной из целей атак является шифрование файлов и требование выкупа у жертв.

Уязвимость ранее уже использовалась для распространения семейств вирусов BianLian и Jasmin, а также майнера XMRig и Spark RAT. Эксперты призывают все организации, использующие TeamCity, немедленно обновить своё ПО для предотвращения возможных атак.

Ситуация усугубляется тем, что компания по безопасности Rapid7 ранее слишком рано опубликовала исчерпывающие подробности об уязвимости, не согласовав этот момент с JetBrains. По итогу, компания только начали распространять исправления, а эксплойт для уязвимости уже был разработан и стал активно использовался злоумышленниками. Обычно подобные раскрытия производят как минимум через несколько недель, а то и месяцев после закрытия бреши.

Кроме того, в недавних отчётах по безопасности от разных ИБ-компаний подчёркивается растущее сотрудничество между различными группами вымогательского ПО, что усложняет их обнаружение и атрибуцию. Некоторые группы, сталкиваясь с действиями правоохранительных органов, становятся более мобильными и сложными для выявления.

Также специалисты фиксируют увеличение использования легитимного программного обеспечения и техник обхода защиты для инфицирования жертв, включая технику BYOVD для отключения защитных решений на уровне ядра системы.

Ключевым аспектом в борьбе с киберугрозами является не только оперативное обновление ПО, но и развитие комплексного подхода к кибербезопасности, включающего обучение персонала и инвестиции в современные технологии защиты.

В условиях усиления киберугроз, важность международного сотрудничества и обмена информацией в области кибербезопасности не может быть переоценена. Организации должны принять все меры для обеспечения своей защиты в условиях постоянно меняющегося ландшафта киберугроз.