Atacatorii exploatează o vulnerabilitate de bypassare a autentificării de severitate maximă pentru a pătrunde în serverele ScreenConnect neactualizate și a implementa încărcături de ransomware LockBit pe rețelele compromise.
Vulnerabilitatea de bypassare a autentificării CVE-2024-1709 de severitate maximă a fost exploatată activ începând de marți, la o zi după ce ConnectWise a lansat actualizări de securitate și mai multe companii de cibernetica au publicat exploatații proof-of-concept.
ConnectWise a remediat, de asemenea, vulnerabilitatea de traversare a căilor CVE-2024-1708 de înaltă severitate, care poate fi exploatată doar de actorii de amenințare cu privilegii ridicate.
Ambele bug-uri de securitate afectează toate versiunile ScreenConnect, determinând compania să elimine toate restricțiile de licență miercuri, astfel încât clienții cu licențe expirate să poată face upgrade la cea mai recentă versiune de software și să-și securizeze serverele împotriva atacurilor.
CISA a adăugat CVE-2024-1709 în Catalogul de Vulnerabilități Exploatare Cunoscute astăzi, ordonând agențiilor federale americane să-și securizeze serverele în termen de o săptămână până la 29 februarie.
CVE-2024-1709 este acum exploatat pe scară largă în mediul online, conform platformei de monitorizare a amenințărilor de securitate Shadowserver, cu 643 de IP-uri care vizează în prezent servere vulnerabile.
Shodan urmărește în prezent peste 8.659 de servere ScreenConnect, doar 980 rulând versiunea patch-uită ScreenConnect 23.9.8.
Astăzi, Sophos X-Ops a dezvăluit că actorii de amenințare au implementat ransomware-ul LockBit pe sistemele victimelor după ce au obținut acces folosind exploatații care vizează aceste două vulnerabilități ScreenConnect.
Compania de securitate cibernetică Huntress și-a confirmat constatările și a declarat pentru BleepingComputer că „o administrație locală, inclusiv sisteme probabil legate de sistemul lor 911” și un „clinic de sănătate” au fost de asemenea afectate de atacatorii de ransomware LockBit care au folosit exploatațiile CVE-2024-1709 pentru a pătrunde în rețelele lor.
„Putem confirma că malware-ul care este implementat este asociat cu Lockbit”, a spus Huntress într-un e-mail.
„Nu putem atribui direct acest lucru grupului mai mare LockBit, dar este clar că LockBit are o gamă largă care cuprinde instrumente, diverse grupuri afiliate și ramificații care nu au fost complet șterse chiar și cu prinderea majoră de către autoritățile de aplicare a legii.”
Infrastructura ransomware-ului LockBit a fost confiscată săptămâna aceasta după ce site-urile sale dark web au fost închise luni într-o operațiune globală a forțelor de ordine numită Operațiunea Cronos condusă de Agenția Națională de Combatere a Criminalității din Marea Britanie (NCA).
Ca parte a acestei operațiuni comune, Agenția Națională de Poliție din Japonia a dezvoltat un decriptor gratuit pentru ransomware-ul LockBit 3.0 Black folosind peste 1.000 de chei de decriptare recuperate din serverele confiscate ale LockBit și lansate pe portalul „No More Ransom”.
În timpul Operațiunii Cronos, mai mulți afiliați LockBit au fost arestați în Polonia și Ucraina, în timp ce autoritățile franceze și americane au emis trei mandate internaționale de arestare și cinci acuzații vizând alți actori de amenințare LockBit. Departamentul de Justiție al SUA a adus două dintre aceste acuzații împotriva suspecților ruși Artur Sungatov și Ivan Gennadievich Kondratiev (cunoscuți și sub numele de Bassterlord).
De asemenea, forțele de ordine au publicat informații suplimentare pe site-ul său dark web confiscat de grup, dezvăluind că LockBit a avut cel puțin 188 de afiliați începând cu apariția sa în septembrie 2019.
LockBit a pretins atacuri împotriva multor organizații de mari dimensiuni și guvernamentale din întreaga lume în ultimii patru ani, inclusiv Boeing, gigantul auto Continental, Poșta Regală din Marea Britanie și Agenția Italiană de Impozitare Internă.
Departamentul de Stat al SUA oferă acum recompense de până la 15 milioane de dolari pentru furnizarea de informații despre membrii bandei de ransomware LockBit și asociații lor.
Conform raportului BleepingComputer de astăzi, dezvoltatorii LockBit lucrau în secret la o nouă versiune de malware denumită LockBit-NG-Dev (care probabil ar fi devenit LockBit 4.0).
LockBit ransomware construiește în secret un criptor de nouă generație înainte de prindere
Statele Unite oferă o recompensă de 15 milioane de dolari pentru informații despre banda de ransomware LockBit
Poliția arestează membrii bandei de ransomware LockBit, lansează un decriptor într-o acțiune globală
Ransomware-ul LockBit, pus în dificultate de o operațiune globală a poliției
LockBit pretinde un atac de ransomware asupra comitatului Fulton, Georgia
Leave a Reply