Criminelen claimen op internet dat ze via kwetsbare CrushFTP-servers op grote schaal gevoelige informatie van bedrijven wereldwijd hebben gestolen. Getroffen ondernemingen worden de komende dagen benaderd over het "veilig verwijderen van de informatie", aldus de aankondiging van de groep Kill Security op hun eigen website. Vermoedelijk moeten de bedrijven losgeld aan de criminelen betalen.

De eerste versie van CrushFTP dateert van 1998. De software ondersteunt verschillende protocollen, zoals ftp, ftps, sftp, http, https, WebDAV en WebDAV SSL. Een kwetsbaarheid (CVE-2025-31161) in de software maakt het mogelijk voor aanvallers om ongeauthenticeerde toegang te krijgen als er een http- of https-poort van de ftp-server toegankelijk is. Updates zijn sinds 21 maart beschikbaar. Het beveiligingslek zou sinds 31 maart worden misbruikt.

Securitybedrijf Huntress publiceerde meer informatie over de aanvallen. Zo maken de aanvallers op gecompromitteerde ftp-servers een backdoor-account aan om zo persistente toegang te behouden. Daarnaast wordt ook de laatste inlogdatum van deze nieuwe gebruiker aangepast, waardoor het lijkt alsof het om een oud account gaat. Ook installeren de aanvallers MeshCentral en AnyDesk om toegang te behouden.

The Shadowserver Foundation stelt dat er op internet nog honderden kwetsbare CrushFTP-servers zijn te vinden, waaronder 27 in Nederland. Volgens Huntress zijn er wereldwijd 130.000 CrushFTP-installaties vanaf het internet toegankelijk. CrushFTP heeft inmiddels informatie gepubliceerd over hoe gecompromitteerde servers zijn te herkennen en wat beheerders in deze gevallen moeten doen.