Νέο απειλητικό ransomware εκμεταλλεύεται τα ελαττώματα του ConnectWise! Τι πρέπει να κάνετε για να προστατευθείτε;

Οι ειδικοί σε θέματα ασφάλειας προειδοποιούν ότι ένα ζευγάρι ελαττωμάτων υψηλού κινδύνου σε ένα δημοφιλές εργαλείο απομακρυσμένης πρόσβασης εκμεταλλεύονται χάκερ για να αναπτύξουν το

LockBit

ransomware – μέρες αφότου οι αρχές ανακοίνωσαν ότι διέκοψαν τη διαβόητη συμμορία εγκλήματος στον κυβερνοχώρο που συνδέεται με τη Ρωσία.

Ερευνητές στις εταιρείες κυβερνοασφάλειας Huntress και Sophos είπαν στο TechCrunch την Πέμπτη ότι και οι δύο είχαν παρατηρήσει επιθέσεις LockBit μετά την εκμετάλλευση ενός συνόλου τρωτών σημείων που επηρεάζουν το

ConnectWise

ScreenConnect, ένα ευρέως χρησιμοποιούμενο εργαλείο απομακρυσμένης πρόσβασης που χρησιμοποιείται από τεχνικούς πληροφορικής για την παροχή απομακρυσμένης τεχνικής υποστήριξης σε συστήματα πελατών.

Τα ελαττώματα αποτελούνται από δύο σφάλματα. Το CVE-2024-1709 είναι ένα θέμα ευπάθειας παράκαμψης ελέγχου ταυτότητας που θεωρείται «ενοχλητικά εύκολο» στην εκμετάλλευση, το οποίο βρίσκεται υπό ενεργή εκμετάλλευση από την Τρίτη, αμέσως μετά την κυκλοφορία ενημερώσεων ασφαλείας από το ConnectWise και προέτρεψε τους οργανισμούς να επιδιορθώσουν. Το άλλο σφάλμα, το CVE-2024-1708, είναι μια ευπάθεια διέλευσης διαδρομής που μπορεί να χρησιμοποιηθεί σε συνδυασμό με το άλλο σφάλμα για την απομακρυσμένη εγκατάσταση κακόβουλου κώδικα σε ένα επηρεασμένο σύστημα.

Σε

μια ανάρτηση στο Mastodon

Την Πέμπτη, η Sophos είπε ότι είχε παρατηρήσει «αρκετές επιθέσεις LockBit» μετά από εκμετάλλευση των τρωτών σημείων του ConnectWise.

«Δύο πράγματα που παρουσιάζουν ενδιαφέρον εδώ: πρώτον, όπως σημειώθηκε από άλλους, τα τρωτά σημεία του ScreenConnect αξιοποιούνται ενεργά στη φύση. Δεύτερον, παρά την επιχείρηση επιβολής του νόμου κατά του LockBit, φαίνεται ότι ορισμένες θυγατρικές εξακολουθούν να λειτουργούν», είπε ο Sophos, αναφερόμενος στην επιχείρηση επιβολής του νόμου νωρίτερα αυτή την εβδομάδα που ισχυρίστηκε ότι κατέστρεψε την υποδομή του LockBit.

Ο Christopher Budd, διευθυντής έρευνας απειλών στο Sophos X-Ops, είπε στο TechCrunch μέσω email ότι οι παρατηρήσεις της εταιρείας δείχνουν ότι, «Το ScreenConnect ήταν η αρχή της παρατηρούμενης αλυσίδας εκτέλεσης και η έκδοση του ScreenConnect που χρησιμοποιήθηκε ήταν ευάλωτη».

Ο Max Rogers, ανώτερος διευθυντής επιχειρήσεων απειλών στο Huntress, είπε στο TechCrunch ότι η εταιρεία κυβερνοασφάλειας παρατήρησε επίσης την ανάπτυξη LockBit ransomware σε επιθέσεις που εκμεταλλεύονται την ευπάθεια του ScreenConnect.

Ο Rogers είπε ότι η Huntress είδε το LockBit ransomware να αναπτύσσεται σε συστήματα πελατών που εκτείνονται σε μια σειρά βιομηχανιών, αλλά αρνήθηκε να κατονομάσει τους πελάτες που επηρεάζονται.

Η υποδομή του LockBit ransomware κατασχέθηκε νωρίτερα αυτή την εβδομάδα στο πλαίσιο μιας σαρωτικής διεθνούς επιχείρησης επιβολής του νόμου υπό την ηγεσία της Εθνικής Υπηρεσίας Εγκλήματος του Ηνωμένου Βασιλείου. Η επιχείρηση κατέρριψε τους δημόσιους ιστότοπους της LockBit, συμπεριλαμβανομένου του σκοτεινού ιστότοπου διαρ

ροής

, τον οποίο χρησιμοποιούσε η συμμορία για να δημοσιεύσει κλεμμένα δεδομένα από τα θύματα. Ο ιστότοπος διαρροής φιλοξενεί τώρα πληροφορίες που αποκαλύφθηκαν από την επιχείρηση υπό την ηγεσία του Ηνωμένου Βασιλείου και αποκαλύπτουν τις δυνατότητες και τις λειτουργίες του LockBit.

Η δράση, γνωστή ως «Επιχείρηση Cronos», οδήγησε επίσης στην κατάργηση 34 διακομιστών σε όλη την Ευρώπη, το

Ηνωμένο Βασίλειο

και τις Ηνωμένες Πολιτείες, την κατάσχεση περισσότερων από 200 πορτοφολιών κρυπτονομισμάτων και τη σύλληψη δύο φερόμενων μελών του LockBit στην Πολωνία και την Ουκρανία.

«Δεν μπορούμε να αποδώσουμε [the ransomware attacks abusing the ConnectWise flaws] απευθείας στη μεγαλύτερη ομάδα LockBit, αλλά είναι σαφές ότι το LockBit έχει μεγάλη εμβέλεια που εκτείνεται σε εργαλεία, διάφορες ομάδες θυγατρικών και παραφυάδες που δεν έχουν διαγραφεί εντελώς ακόμη και με τη μεγάλη κατάργηση από τις αρχές επιβολής του νόμου», είπε ο Rogers στο TechCrunch μέσω email.

Όταν ρωτήθηκε εάν η ανάπτυξη του ransomware ήταν κάτι που η ConnectWise παρατηρούσε επίσης εσωτερικά, ο επικεφαλής της ασφάλειας πληροφοριών της ConnectWise, Patrick Beggs, είπε στο TechCrunch ότι «αυτό δεν είναι κάτι που βλέπουμε σήμερα».

Παραμένει άγνωστο πόσοι χρήστες του ConnectWise ScreenConnect έχουν επηρεαστεί από αυτήν την ευπάθεια και η ConnectWise αρνήθηκε να παράσχει αριθμούς. Ο ιστότοπος της εταιρείας ισχυρίζεται ότι ο οργανισμός παρέχει την τεχνολογία απομακρυσμένης πρόσβασης σε περισσότερες από ένα εκατομμύριο μικρές και μεσαίες επιχειρήσεις.

Σύμφωνα με το Shadowserver Foundation, έναν μη κερδοσκοπικό οργανισμό που συλλέγει και αναλύει δεδομένα σχετικά με κακόβουλη δραστηριότητα στο Διαδίκτυο, τα ελαττώματα του ScreenConnect «τυγχάνουν ευρείας εκμετάλλευσης». Ο μη κερδοσκοπικός οργανισμός δήλωσε την Πέμπτη

σε ανάρτηση στο Χ

πρώην

Twitter

, ότι μέχρι στιγμής είχε παρατηρήσει 643 διευθύνσεις IP που εκμεταλλεύονται τα τρωτά σημεία — προσθέτοντας ότι περισσότεροι από 8.200 διακομιστές παραμένουν ευάλωτοι.