30/05/25
По данным компании, инцидент затронул лишь ограниченное количество пользователей облачного сервиса ScreenConnect , используемого для удалённого доступа и техподдержки.
В официальном уведомлении ConnectWise указала, что выявила «подозрительную активность», которую связывает с действиями «сложного атакующего уровня национального государства». Внутреннее расследование ведётся при участии команды сторонних специалистов.
Пострадавшим клиентам уже направлены уведомления, также осуществляется взаимодействие с правоохранительными органами, пишет Securitylab. Компания заявляет, что внедрила расширенный мониторинг и усилила безопасность во всей своей сети. ConnectWise также омтетила, что не наблюдала никакой подозрительной активности со стороны клиентов.
Компания не уточнила, сколько именно пользователей пострадало, когда именно произошёл взлом, и было ли зафиксировано вредоносное поведение в скомпрометированных экземплярах ScreenConnect. Однако источник сообщил, что атака произошла ещё в августе 2024 года, а сама ConnectWise обнаружила признаки взлома лишь в мае 2025-го. Уязвимость затронула исключительно облачные версии ScreenConnect, размещённые на доменах screenconnect.com и hostedrmm.com.
Хотя ConnectWise не подтвердила, что именно CVE-2025-3935 была использована в атаке, структура уязвимости позволяет предположить, что злоумышленники сначала получили доступ к внутренним системам компании и ключам шифрования, а затем применили их для выполнения кода на серверной стороне. Таким образом, потенциально была открыта возможность для проникновения в клиентские среды через управляемые облачные инстансы ScreenConnect.
Представитель компании CNWR сообщил, что пострадало крайне ограниченное число клиентов, что может свидетельствовать о целевой атаке. При этом недовольство пользователей вызвано тем, что ConnectWise не опубликовала индикаторы компрометации (IoC) и не предоставила подробностей, необходимых для оценки возможных последствий.
