Atacatorii exploatează o vulnerabilitate de bypass de autentificare cu severitate maximă pentru a sparge serverele neactualizate ScreenConnect și a implementa încărcături de ransomware LockBit pe rețelele compromise.
Defectul de bypass de autentificare CVE-2024-1709 cu severitate maximă a fost exploatat activ începând de marți, o zi după ce ConnectWise a lansat actualizări de securitate și mai multe companii de securitate cibernetica au publicat exploatații de concept.
ConnectWise a remediat și vulnerabilitatea de traversare a căilor de înaltă severitate CVE-2024-1708, care poate fi exploatată doar de actorii de amenințare cu privilegii ridicate.
Ambele bug-uri de securitate afectează toate versiunile ScreenConnect, determinând compania să elimine miercuri toate restricțiile de licență pentru ca clienții cu licențe expirate să poată face upgrade la cea mai recentă versiune de software și să-și securizeze serverele împotriva atacurilor.
CISA a adăugat, de asemenea, CVE-2024-1709 la Catalogul său de Vulnerabilități Exploatate Cunoscute astăzi, ordonând agențiilor federale americane să-și securizeze serverele în termen de o săptămână până pe 29 februarie.
Shodan urmărește în prezent peste 8.659 de servere ScreenConnect, în timp ce doar 980 rulează versiunea patch-uită ScreenConnect 23.9.8.
Astăzi, Sophos X-Ops a dezvăluit că actorii de amenințare au implementat ransomware-ul LockBit pe sistemele victimelor după ce au obținut acces folosind exploatații care vizează aceste două vulnerabilități ScreenConnect.
„În ultimele 24 de ore, am observat mai multe atacuri LockBit, aparent după exploatarea vulnerabilităților recente ale ConnectWise ScreenConnect (CVE-2024-1708 / CVE-2024-1709),” a declarat forța de răspuns la amenințări a Sophos.
„Două lucruri de interes aici: în primul rând, așa cum au remarcat și alții, vulnerabilitățile ScreenConnect sunt exploatate activ în sălbăticie. În al doilea rând, în ciuda operațiunii de aplicare a legii împotriva LockBit, se pare că unii afiliați sunt încă activi și funcționali.”
Compania de securitate cibernetică Huntress și-a confirmat constatările și a declarat pentru BleepingComputer că „o administrație locală, inclusiv sistemele probabil legate de sistemul lor 911” și o „clinică medicală” au fost, de asemenea, afectate de atacatorii de ransomware LockBit care au folosit exploatațiile CVE-2024-1709 pentru a sparge rețelele lor.
„Putem confirma că malware-ul implementat este asociat cu Lockbit,” a spus Huntress printr-un email.
„Nu putem atribui direct acest lucru grupului LockBit mai mare, dar este clar că LockBit are un impact mare care se întinde la unelte, diverse grupuri afiliate și ramificații care nu au fost complet șterse chiar și cu eliminarea majoră de către autoritățile legale.”
Infrastructura ransomware-ului LockBit a fost confiscată în această săptămână după ce site-urile sale de scurgeri pe dark web au fost luate offline luni într-o operațiune globală condusă de Agenția Națională de Combatere a Crimei din Marea Britanie (NCA).
În cadrul acestei operațiuni comune, Agenția Națională de Poliție din Japonia a dezvoltat un decriptator gratuit pentru ransomware LockBit 3.0 Black folosind peste 1.000 de chei de decriptare recuperate din serverele confiscate ale LockBit și lansate pe portalul ‘No More Ransom’.
În timpul Operațiunii Cronos, mai mulți afiliați LockBit au fost arestați în Polonia și Ucraina, în timp ce autoritățile franceze și americane au emis trei mandate internaționale de arestare și cinci inculpări vizând alți actori de amenințare LockBit. Departamentul de Justiție al SUA a adus două dintre aceste inculpări împotriva suspecților ruși Artur Sungatov și Ivan Gennadievich Kondratiev (aka Bassterlord).
Autoritățile legale au publicat, de asemenea, informații suplimentare pe site-ul său de scurgeri de pe dark web al grupului, dezvăluind că LockBit avea cel puțin 188 de afiliați de când a apărut în septembrie 2019.
LockBit a pretins atacuri asupra multor organizații de amploare și guvernamentale din întreaga lume în ultimii patru ani, inclusiv Boeing, gigantul auto Continental, Poșta Regală din Marea Britanie și Agenția Italiană de Venituri Interne.
Departamentul de Stat al SUA oferă acum recompense de până la 15 milioane de dolari pentru furnizarea de informații despre membrii bandei de ransomware LockBit și asociații lor.
Ransomware-ul LockBit construiește în secret un criptor de generație următoare înainte de eliminare
SUA oferă o recompensă de 15 milioane de dolari pentru informații despre banda de ransomware LockBit
Poliția a arestat membrii ransomware-ului LockBit, a lansat un decriptator într-o acțiune globală
Ransomware-ul LockBit, perturbat de operația globală a poliției
LockBit pretinde atacul de ransomware asupra comitatului Fulton, Georgia