Grupurile de ransomware Black Basta si Bl00dy s-au alaturat atacurilor extinse care vizeaza serverele ScreenConnect neactualizate impotriva unei vulnerabilitati de bypassare a autentificarii de severitate maxima.
Aceasta vulnerabilitate critica (CVE-2024-1709) permite atacatorilor sa creeze conturi de administrator pe servere expuse pe Internet, sa stearga toti ceilalti utilizatori si sa preia orice instanta vulnerabila.
CVE-2024-1709 a fost exploatata activ inca de marti trecuta, o zi dupa ce ConnectWise a lansat actualizari de securitate si exploit-uri de concept au fost lansate de mai multe companii de securitate cibernetica.
Saptamana trecuta, ConnectWise a remediat si o vulnerabilitate de traversare a caii de severitate ridicata (CVE-2024-1708) care poate fi abuzata doar de actori de amenintare cu privilegii ridicate.
Compania a eliminat toate restrictiile de licenta saptamana trecuta, astfel incat clientii cu licente expirate sa-si securizeze serverele impotriva atacurilor in curs, avand in vedere ca aceste doua bug-uri de securitate afecteaza toate versiunile ScreenConnect.
Joi, CISA a adaugat de asemenea CVE-2024-1709 in Catalogul de Vulnerabilitati Exploatate Cunoscute, ordonand agentiilor federale americane sa-si securizeze serverele pana la 29 februarie.
Shadowserver spune ca CVE-2024-1709 este acum larg exploatata in atacuri, cu zeci de IP-uri care vizeaza servere expuse online, in timp ce Shodan urmareste in prezent peste 10.000 de servere ScreenConnect (doar 1.559 ruleaza versiunea 23.9.8 a ScreenConnect patchata).
Analizand aceste atacuri in curs, Trend Micro a descoperit ca grupurile de ransomware Black Basta si Bl00dy au inceput, de asemenea, sa exploateze vulnerabilitatile ScreenConnect pentru acces initial si pentru backdoorarea retelelor victimelor cu shell-uri web.
In timp ce investigau atacurile lor, Trend Micro a observat activitati de recunoastere, descoperire si escaladare a privilegiilor dupa ce atacatorii au obtinut acces la retea si au fost implementate beacoane Cobalt Strike legate de Black Basta pe sistemele compromise.
Grupul de ransomware Bl00dy a folosit payloaduri construite folosind constructorii Conti si LockBit Black care au fost scurse. Cu toate acestea, notele lor de rascumparare lasate identificau atacatorii ca parte a operatiunii de cybercrime Bl00dy.
Trend Micro a observat de asemenea atacatori care implementau malware-ul multi-scop XWorm cu trojan de acces la distanta (RAT) si capacitate de ransomware.
Altii actori de amenintare au folosit accesul castigat recent la serverele ScreenConnect compromise pentru a implementa diverse unelte de management la distanta, cum ar fi Atera si Syncro, sau o a doua instanta ConnectWise.
Sophos a dezvaluit initial intr-un raport joi ca vulnerabilitatile ScreenConnect recent patchate sunt exploatate in atacuri de ransomware.
Au observat mai multe payloaduri de ransomware construite folosind constructorul de ransomware LockBit scurs online la sfarsitul lunii septembrie 2022, inclusiv un payload buhtiRansom gasit pe 30 de retele diferite si o a doua varianta LockBit creata folosind constructorul scurs Lockbit.
Compania de securitate cibernetica Huntress a confirmat de asemenea constatarile lor saptamana trecuta si a spus BleepingComputer ca „un guvern local, inclusiv sistemele probabil legate de sistemele lor 911” si o „clinica de sanatate” au fost, de asemenea, lovite de atacatori de ransomware care au exploatat autentificarea CVE-2024-1709 pentru a patrunde in retelele victimelor.
„Urmare a examinarii noastre detaliate a diferitilor actori de amenintare care exploateaza vulnerabilitatile in ConnectWise ScreenConnect, subliniem urgenta actualizarii la cea mai recenta versiune a software-ului,” a declarat Trend Micro astazi.
„Actualizarea imediata nu este doar recomandata; este o cerinta critica de securitate pentru a va proteja sistemele impotriva acestor amenintari identificate.”
Leave a Reply