Реинкарнация вымогателя Cerber использует уязвимости Confluence и GitLab
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Реинкарнация вымогателя Cerber использует уязвимости Confluence и GitLab

Татьяна Никитина 08 Декабря 2021 - 14:38
...
Реинкарнация вымогателя Cerber использует уязвимости Confluence и GitLab

В стане шифровальщиков объявился плагиатор: новая находка ИБ-экспертов заимствует некогда грозное имя Cerber, но атакует не только Windows, но и Linux. В частности, для проникновения на серверы зловред использует недавно опубликованные RCE-уязвимости в Atlassian Confluence и GitLab.

Изначальный Cerber появился на интернет-арене в 2016 году и начал быстро набирать обороты. Через пару лет его активность стала снижаться и к концу 2019 года практически угасла.

В прошлом месяце ИБ-исследователи обнаружили в дикой природе новые образцы вымогательской программы, именуемой Cerber. Вредонос способен шифровать файлы и в Windows, и в Linux; к итогу он добавляет расширение .locked и оставляет на машине записку __$$RECOVERY_README$$__.html с требованием выкупа в размере от $1000 до $3000.

Анализ кода показал, что новобранец не похож на прежних представителей семейства Cerber, которые к тому же не имели шифратора для Linux. Тем не менее, авторы новоявленного зловреда позаимствовали не только имя, но также заголовок обращения к жертве и сайт для приема платежей в сети Tor.

Для внедрения шифровальщика на сервер злоумышленники используют уязвимость CVE-2021-26084 в Confluence или CVE-2021-22205 в GitLab. Обе допускают удаленный эксплойт без аутентификации и позволяют выполнить сторонний код в системе. Производители уже выпустили патчи, и PoC-коды стали достоянием общественности.

Образец, подвергнутый анализу в BleepingComputer, был нацелен на такие папки:

  • C:\Program Files\Atlassian\Application Data
  • C:\Program Files\Atlassian\Application Data\Confluence
  • C:\Program Files\Atlassian\Application Data\Confluence\backups

Операторы нью-Cerber проводят свои атаки по всему миру, уделяя особое внимание мишеням в США, Германии и Китае (совокупно более половины инцидентов, зафиксированных исследователями из Tencent). В BleepingComputer удалось также подтвердить большое количество заражений в России.

 

Активный патчинг Confluence и GitLab на местах, по мнению экспертов, может заставить злоумышленников переключиться на другие уязвимости, открывающие доступ к серверам.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Путин поручил сохранить доступ к важным сервисам при отключениях интернета
Яков Шпунт 01 Июня 2026 - 12:26
Соответствие законодательству РФ Общее
Путин поручил сохранить доступ к важным сервисам при отключениях интернета

Президент Владимир Путин поручил правительству и Федеральной службе безопасности обеспечить бесперебойный доступ к ключевым интернет-сервисам даже в периоды ограничений, вводимых по соображениям безопасности. Ответственные за выполнение поручения должны отчитаться до 1 июля.

Это поручение вошло в перечень из 10 распоряжений, которые президент дал по итогам совещания с членами правительства, состоявшегося 23 апреля:

«Правительству Российской Федерации совместно с ФСБ России обеспечить бесперебойную работу важнейших сервисов, в том числе систем оказания медицинской помощи, федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», платёжных систем, и доступ граждан к таким сервисам в период ограничения функционирования информационно-телекоммуникационной сети интернет».

Отчитаться о ходе исполнения поручения правительство и ФСБ должны не позднее 1 июля. Ответственными назначены председатель правительства Михаил Мишустин и директор ФСБ Александр Бортников.

«Белый список» ресурсов, которые должны оставаться доступными при ограничениях мобильного интернета, Минцифры обнародовало в сентябре 2025 года. С тех пор перечень несколько раз обновлялся. Тем не менее в периоды отключений пользователи нередко жаловались на недоступность таких ресурсов, в частности во время мартовских ограничений мобильного интернета в Москве.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Apple начала блокировать на iPhone альтернативный Telegram-клиент Telega
Новость
Apple начала блокировать на iPhone альтернативный Telegram-к...
Росавиация предложила ограничить использование пауэрбанков на борту
Новость
Росавиация предложила ограничить использование пауэрбанков н...
Claude начала массовые блокировки российских пользователей
Новость
Claude начала массовые блокировки российских пользователей

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.