Реинкарнация вымогателя Cerber использует уязвимости Confluence и GitLab
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Реинкарнация вымогателя Cerber использует уязвимости Confluence и GitLab

Татьяна Никитина 08 Декабря 2021 - 14:38
...
Реинкарнация вымогателя Cerber использует уязвимости Confluence и GitLab

В стане шифровальщиков объявился плагиатор: новая находка ИБ-экспертов заимствует некогда грозное имя Cerber, но атакует не только Windows, но и Linux. В частности, для проникновения на серверы зловред использует недавно опубликованные RCE-уязвимости в Atlassian Confluence и GitLab.

Изначальный Cerber появился на интернет-арене в 2016 году и начал быстро набирать обороты. Через пару лет его активность стала снижаться и к концу 2019 года практически угасла.

В прошлом месяце ИБ-исследователи обнаружили в дикой природе новые образцы вымогательской программы, именуемой Cerber. Вредонос способен шифровать файлы и в Windows, и в Linux; к итогу он добавляет расширение .locked и оставляет на машине записку __$$RECOVERY_README$$__.html с требованием выкупа в размере от $1000 до $3000.

Анализ кода показал, что новобранец не похож на прежних представителей семейства Cerber, которые к тому же не имели шифратора для Linux. Тем не менее, авторы новоявленного зловреда позаимствовали не только имя, но также заголовок обращения к жертве и сайт для приема платежей в сети Tor.

Для внедрения шифровальщика на сервер злоумышленники используют уязвимость CVE-2021-26084 в Confluence или CVE-2021-22205 в GitLab. Обе допускают удаленный эксплойт без аутентификации и позволяют выполнить сторонний код в системе. Производители уже выпустили патчи, и PoC-коды стали достоянием общественности.

Образец, подвергнутый анализу в BleepingComputer, был нацелен на такие папки:

  • C:\Program Files\Atlassian\Application Data
  • C:\Program Files\Atlassian\Application Data\Confluence
  • C:\Program Files\Atlassian\Application Data\Confluence\backups

Операторы нью-Cerber проводят свои атаки по всему миру, уделяя особое внимание мишеням в США, Германии и Китае (совокупно более половины инцидентов, зафиксированных исследователями из Tencent). В BleepingComputer удалось также подтвердить большое количество заражений в России.

 

Активный патчинг Confluence и GitLab на местах, по мнению экспертов, может заставить злоумышленников переключиться на другие уязвимости, открывающие доступ к серверам.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

СКБ Контур запустила Коннект — систему защищённого корпоративного доступа
Екатерина Быстрова 12 Ноября 2025 - 12:15
Малый и средний бизнесКорпорации Сетевая безопасностьЗащищенные VPN-шлюзыСистемы аутентификации
СКБ Контур запустила Коннект — систему защищённого корпоративного доступа

На конференции «Совершенно безопасно 3.0: Точка опоры» компания СКБ Контур представила новый продукт — Коннект от Контур.Эгиды. Это кросс-платформенный инструмент, который обеспечивает безопасный доступ сотрудников и партнёров к корпоративным системам из любой точки мира.

На старте продукт включает VPN корпоративного уровня, многофакторную аутентификацию (MFA), панель централизованного управления пользователями и политиками, а также клиенты для Windows, macOS, Linux, Android и iOS.

Встроенные механизмы контроля соединений позволяют отслеживать состояние сессий и управлять доступом в режиме реального времени.

Решение рассчитано на крупные организации и компании с разветвлённой инфраструктурой и распределёнными командами, где требуется управлять сотнями или тысячами подключений и поддерживать высокий уровень контроля над ними.

По словам Михаила Добровольского, заместителя генерального директора СКБ Контур и руководителя департамента корпоративного управления, Коннект уже используется несколькими крупными клиентами и протестирован на собственных сервисах компании.

Сейчас продукт проходит масштабные пилотные внедрения, в которых проверяется работа в сложных корпоративных сценариях и при большом числе пользователей.

Коннект интегрирован с экосистемой Контур.Эгида и может использовать единый ID для многофакторной аутентификации. Это позволяет централизованно управлять доступами и унифицировать политики безопасности.

В дальнейшем разработчики планируют расширить аналитические возможности, создать собственный протокол передачи данных и пройти сертификацию по требованиям ФСТЭК и ФСБ России.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В WhatsApp добавили шифрование резервных копий с помощью passkey
Новость
В WhatsApp добавили шифрование резервных копий с помощью pas...
Исследователь взломал терминал оплаты за минуту через скрытый дебаг-порт
Новость
Исследователь взломал терминал оплаты за минуту через скрыты...
Российские учёные научили ИИ ловить фейковые фото и нелепые изображения
Новость
Российские учёные научили ИИ ловить фейковые фото и нелепые...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.