Οι εισβολείς εκμεταλλεύονται μια ευπάθεια παράκαμψης ελέγχου
ταυτότητα
ς μέγιστης σοβαρότητας για να παραβιάσουν τους μη επιδιορθωμένους διακομιστές ScreenConnect και να αναπτύξουν ωφέλιμα φορτία ransomware LockBit σε δίκτυα που έχουν παραβιαστεί.
Το ελάττωμα παράκαμψης εξουσιοδότησης CVE-2024-1709 μέγιστης σοβαρότητας βρίσκεται υπό ενεργή εκμετάλλευση από την Τρίτη, μία ημέρα αφότου η ConnectWise κυκλοφόρησε ενημερώσεις ασφαλείας και αρκετές εταιρείες ασφάλειας στον κυβερνοχώρο δημοσίευσαν εκμεταλλεύσεις απόδειξης της ιδέας.
Η ConnectWise επιδιορθώνει επίσης την ευπάθεια διέλευσης διαδρομής υψηλής σοβαρότητας CVE-2024-1708, η οποία μπορεί να γίνει κατάχρηση μόνο από φορείς απειλών με υψηλά προνόμια.
Και τα δύο σφάλ
ματ
α ασφαλείας επηρεάζουν όλες τις εκδόσεις ScreenConnect, ωθώντας την εταιρεία την Τετάρτη να το κάνει
καταργήστε όλους τους περιορισμούς άδειας χρήσης
ώστε οι πελάτες με ληγμένες άδειες να μπορούν να κάνουν αναβάθμιση στην πιο πρόσφατη έκδοση λογισμικού και να προστατεύουν τους διακομιστές τους από επιθέσεις.
CISA
προστέθηκε CVE-2024-1709
στο δικό του
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
σήμερα, δίνοντας εντολή στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να ασφαλίσουν τους διακομιστές τους εντός μιας εβδομάδας έως τις 29 Φεβρουαρίου.
Το CVE-2024-1709 είναι τώρα
ευρεία εκμετάλλευση
στην άγρια φύση, σύμφωνα με την πλατφόρμα παρακολούθησης απειλών ασφαλείας Shadowserver, με 643 IP που στοχεύουν επί του παρόντος ευάλωτους διακομιστές.
Ο Shodan τρέχει αυτή τη στιγμή
πάνω από 8.659 διακομιστές ScreenConnect
με μόνο 980 να τρέχουν το
Ενημερωμένη έκδοση ScreenConnect 23.9.8
.
Διακομιστές ScreenConnect που εκτίθενται στο Διαδίκτυο (Shodan)
Εκμεταλλεύεται σε επιθέσεις ransomware LockBit
Σήμερα, η Sophos X-Ops αποκάλυψε ότι οι φορείς απειλών έχουν αναπτύξει LockBit ransomware στα συστήματα των θυμάτων αφού απέκτησαν πρόσβαση χρησιμοποιώντας εκμεταλλεύσεις που στοχεύουν αυτές τις δύο ευπάθειες του ScreenConnect.
«Τις τελευταίες 24 ώρες, παρατηρήσαμε αρκετές επιθέσεις LockBit, προφανώς μετά από εκμετάλλευση των πρόσφατων τρωτών σημείων του ConnectWise ScreenConnect (CVE-2024-1708 / CVE-2024-1709),» η ομάδα εργασίας της Sophos
είπε
.
“Δύο πράγματα που ενδιαφέρουν εδώ: πρώτον, όπως σημειώθηκε από άλλους, τα τρωτά σημεία του ScreenConnect αξιοποιούνται ενεργά στη φύση. Δεύτερον, παρά την επιχείρηση επιβολής του νόμου κατά του LockBit, φαίνεται ότι ορισμένες θυγατρικές εξακολουθούν να λειτουργούν.”
Η εταιρεία κυβερνοασφάλειας Huntress επιβεβαίωσε τα ευρήματά της και είπε στο BleepingComputer ότι «μια τοπική κυβέρνηση, συμπεριλαμβανομένων συστημάτων που πιθανώς συνδέονται με τα συστήματα 911 τους» και μια «ιατρική περίθαλψης» έχουν επίσης χτυπηθεί από επιτιθέμενους ransomware LockBit που χρησιμοποίησαν εκμεταλλεύσεις CVE-2024-1709 για να παραβιάσουν τα δίκτυά τους .
«Μπορούμε να επιβεβαιώσουμε ότι το κακόβουλο λογισμικό που αναπτύσσεται σχετίζεται με το Lockbit», είπε ο Huntress σε ένα
email
.
“Δεν μπορούμε να το αποδώσουμε απευθείας στη μεγαλύτερη ομάδα LockBit, αλλά είναι σαφές ότι το lockbit έχει μεγάλη εμβέλεια που εκτείνεται σε εργαλεία, διάφορες ομάδες θυγατρικών και παραφυάδες που δεν έχουν διαγραφεί εντελώς ακόμη και με τη μεγάλη κατάργηση από τις αρχές επιβολής του νόμου.”
Το LockBit αποσυναρμολογήθηκε στη λειτουργία Cronos
Η υποδομή του LockBit ransomware κατασχέθηκε αυτή την εβδομάδα μετά την κατάργηση των σκοτεινών ιστότοπων διαρροής του τη Δευτέρα σε μια παγκόσμια επιχείρηση επιβολής του νόμου με την κωδική ονομασία Operation Cronos υπό την ηγεσία της Εθνικής Υπηρεσίας Εγκλήματος του Ηνωμένου Βασιλείου (NCA).
Ως μέρος αυτής της κοινής επιχείρησης, η Εθνική Αστυνομική Υπηρεσία της
Ιαπωνία
ς ανέπτυξε έναν δωρεάν αποκρυπτογραφητή LockBit 3.0 Black Ransomware χρησιμοποιώντας
πάνω από 1.000 κλειδιά αποκρυπτογράφησης
ανακτήθηκε από τους κατασχεθέντες διακομιστές του LockBit και κυκλοφόρησε στο
Πύλη «No More Ransom».
.
Κατά τη διάρκεια της
Επιχείρηση
ς Cronos, πολλές θυγατρικές της LockBit συνελήφθησαν στην Πολωνία και την Ουκρανία, ενώ οι γαλλικές και οι αμερικανικές αρχές εξέδωσαν τρία διεθνή εντάλματα σύλληψης και πέντε κατηγορίες με στόχο άλλους παράγοντες απειλών LockBit. Το Υπουργείο Δικαιοσύνης των ΗΠΑ άσκησε δύο από αυτές τις κατηγορίες
εναντίον Ρώσων υπόπτων
Artur Sungatov και Ivan Gennadievich Kondratiev (γνωστός και ως Bassterlord).
Οι αρχές επιβολής του νόμου δημοσίευσαν επίσης πρόσθετες πληροφορίες
στον κατασχεθέντα ιστότοπο διαρροής σκοτεινού ιστού της ομάδας
αποκαλύπτοντας ότι το LockBit είχε τουλάχιστον 188 θυγατρικές από τότε που εμφανίστηκε τον Σεπτέμβριο του 2019.
Η LockBit έχει αναλάβει επιθέσεις σε πολλούς μεγάλης κλίμακας και κυβερνητικούς οργανισμούς παγκοσμίως τα τελευταία τέσσερα χρόνια, συμπεριλαμβανομένης της Boeing, του γίγαντα της αυτοκινητοβιομηχανίας Continental, της Royal Mail του Ηνωμένου Βασιλείου και της Ιταλικής Υπηρεσίας Εσωτερικών Εσόδων.
Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει τώρα ανταμοιβές έως και 15 εκατομμυρίων δολαρίων για την παροχή πληροφοριών σχετικά με τα μέλη της συμμορίας ransomware LockBit και τους συνεργάτες τους.
Όπως ανέφερε σήμερα το BleepingComputer, οι προγραμματιστές του LockBit εργάζονταν κρυφά σε μια νέα έκδοση κακόβουλου λογισμικού που ονομάστηκε LockBit-NG-Dev (η οποία πιθανότατα θα γινόταν LockBit 4.0).
//platform.twitter.com/widgets.js
VIA:
bleepingcomputer.com
