Эксплойты ToolShell стали инструментом для масштабного распространения вымогателя 4l4md4r: новая волна кибератак угрожает корпоративным сетям

Согласно документам, ToolShell применяется для эксплуатации критических уязвимостей в Microsoft SharePoint, включая CVE-2025-49704, CVE-2025-49706 и CVE-2025-53770. Эти бреши в безопасности позволяют злоумышленникам выполнять произвольный код на уязвимых серверах без аутентификации, что создает идеальные условия для скрытой установки ransomware. Механизм атаки начинается с сканирования сетей на наличие незакрытых уязвимостей SharePoint, после чего внедряют и запускают вредоносный скрипт, подготавливающих инфраструктуру для финальной нагрузки - 4l4md4r.

Семейство 4l4md4r относится к категории высокоадаптивных программ-вымогателей, использующих гибридные методы шифрования. Целевыми объектами атак становятся преимущественно компании финансового сектора, логистические операторы и государственные учреждения, где нарушение работы ИТ-систем может привести к катастрофическим убыткам или остановке критических услуг. Учитывая, что уязвимости SharePoint остаются распространенными в корпоративных средах из-за сложности своевременного обновления распределенных систем, риски повторения инцидентов оцениваются как крайне высокие.

Масштаб последствий инфицирования 4l4md4r варьируется от временной потери работоспособности до полного паралича бизнес-операций. Эксперты прогнозируют рост аналогичных атак в ближайшие кварталы, особенно учитывая фрагментарность мер защиты в гибридных ИТ-средах.

IPv4

• 145.239.97.206

Domains

• bpp.theinnovationfactory.it

URLs

• https://ice.theinnovationfactory.it/static/4l4md4r.exe

SHA256

• 33067028e35982c7b9fdcfe25eb4029463542451fdff454007832cf953feaf1e