Резкий рост сканирования уязвимостей MOVEit с мая 2025 года
Источник: www.greynoise.io
Рост активности сканирования MOVEit Transfer: новые вызовы для кибербезопасности
Компания GreyNoise зафиксировала значительное увеличение активности сканирования, направленного на системы передачи данных MOVEit, начиная с 27 мая 2025 года. Этот внезапный всплеск указывает на возросший интерес злоумышленников к данной платформе и усиливающуюся угрозу безопасности для организаций, использующих MOVEit Transfer.
Резкий рост числа сканирующих IP-адресов
Ранее активность сканирования MOVEit была сравнительно низкой: ежедневно регистрировалось менее 10 уникальных IP-адресов. Однако 27 мая 2025 года ситуация резко изменилась:
- Количество уникальных IP-адресов для сканирования выросло до более чем 100;
- К 28 мая количество достигло 319;
- В последующие дни число активных IP-адресов колебалось в диапазоне от 200 до 300.
За последние 90 дней GreyNoise зафиксировала в общей сложности 682 уникальных IP-адреса, связанные с попытками сканирования систем MOVEit Transfer.
Основные источники сканирования
Большая часть активности исходит от крупных облачных провайдеров. Вот ключевые источники, отметившиеся максимальной активностью:
- Tencent Cloud (ASN 132203) — около 44% всех попыток, 303 IP-адреса;
- Cloudflare — 113 IP-адресов;
- Amazon — 94 IP-адреса;
- Google — 34 IP-адреса.
Географически большинство сканирующих IP-адресов располагается в Соединённых Штатах, а также в Великобритании, Германии, Франции и Мексике.
Попытки эксплуатации уязвимостей
Помимо интенсивного сканирования, 12 июня 2025 года обнаружены первые попытки малообъемного использования уязвимостей, связанных с двумя ранее идентифицированными дырами безопасности в MOVEit Transfer. Это свидетельствует о том, что злоумышленники не ограничиваются поиском уязвимостей, а переходят к их активному использованию:
«Эти события указывают на то, что MOVEit Transfer вновь становится приоритетной целью для киберпреступников, и пользователям стоит ожидать дальнейших попыток компрометации своих систем», — отмечают эксперты GreyNoise.
Рекомендации по обеспечению безопасности
Данная тенденция подчеркивает необходимость повышенной бдительности и внедрения проактивных мер защиты для организаций, работающих с программным обеспечением MOVEit Transfer. Среди важнейших рекомендаций:
- Регулярное обновление программного обеспечения для устранения известных уязвимостей;
- Мониторинг сетевого трафика на предмет подозрительной активности;
- Использование средств обнаружения и предотвращения вторжений (IDS/IPS);
- Проведение аудитов безопасности и тестов на проникновение;
- Обучение сотрудников методам предотвращения фишинга и других векторов атаки.
В условиях усиливающейся активности злоумышленников, своевременное реагирование и укрепление защиты помогут минимизировать риски и сохранить целостность передач данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
