Hackers εκμεταλλεύονται μια εξαιρετικά σοβαρή ευπάθεια παράκαμψης ελέγχου ταυτότητας, για να παραβιάσουν μη ενημερωμένους ScreenConnect servers και να αναπτύξουν LockBit ransomware payloads σε δίκτυα.
Η ευπάθεια παρακολουθείται ως CVE-2024-1709 και χρησιμοποιείται σε επιθέσεις ήδη από την Τρίτη, μία ημέρα αφότου η ConnectWise κυκλοφόρησε ενημερώσεις ασφαλείας. Η εταιρεία διόρθωσε και μια δεύτερη σοβαρή ευπάθεια, την CVE-2024-1708, η οποία μπορεί να χρησιμοποιηθέί μόνο από φορείς απειλών με υψηλά προνόμια.
Και οι δύο ευπάθειες επηρεάζουν όλες τις εκδόσεις ScreenConnect. Γι’ αυτό το λόγο, η εταιρεία προχώρησε σε κατάργηση όλων των license restrictions, ώστε οι πελάτες με ληγμένες άδειες να μπορούν να αναβαθμίσουν στην πιο πρόσφατη έκδοση λογισμικού.
Σύμφωνα με την πλατφόρμα, Shadowserver, η ευπάθεια CVE-2024-1709 χρησιμοποιείται τώρα σε πολλές επιθέσεις, με 643 IP να στοχεύουν επί του παρόντος ευάλωτους διακομιστές.
Δείτε επίσης: LockBit ransomware: Οι προγραμματιστές είχαν φτιάξει νέα έκδοση πριν το “χτύπημα” από τις αρχές
Η Shodan παρακολουθεί πάνω από 8.659 ScreenConnect servers και μόνο 980 χρησιμοποιούν την ενημερωμένη έκδοση ScreenConnect 23.9.8.
Η CISA πρόσθεσε το CVE-2024-1709 στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, δίνοντας εντολή στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να ασφαλίσουν τους διακομιστές τους μέχρι τις 29 Φεβρουαρίου.
LockBit ransomware: Μόλυνση ScreenConnect servers μέσω της ευπάθειας
Σύμφωνα με τη Sophos X-Ops, έχουν εντοπιστεί hackers που αναπτύσσουν το LockBit ransomware στα συστήματα των θυμάτων, χρησιμοποιώντας exploits που στοχεύουν αυτές τις δύο ευπάθειες του ScreenConnect.
Η εταιρεία κυβερνοασφάλειας Huntress επιβεβαίωσε τα ευρήματα, αναφερόμενη σε συγκεκριμένη επίθεση από το ransomware LockBit μέσω εκμετάλλευσης της CVE-2024-1709.
Τα παραπάνω δείχνουν ότι παρά την πρόσφατη κατάργηση της υποδομής της ransomware ομάδας, από τις αρχές επιβολής του νόμου, υπάρχουν ακόμα κάποιοι affiliates που χρησιμοποιούν το Lockbit ransomware σε επιθέσεις.
“Δεν μπορούμε να το αποδώσουμε απευθείας στη μεγαλύτερη ομάδα LockBit, αλλά είναι σαφές ότι το lockbit έχει μεγάλη εμβέλεια που εκτείνεται σε εργαλεία και διάφορες ομάδες affiliates που δεν έχουν επηρεαστεί εντελώς, ακόμη και μετά την κατάργηση από τις αρχές επιβολής του νόμου“.
Δείτε επίσης: LockBit ransomware: Αμοιβή $10 εκατ. για πληροφορίες σχετικά με τους αρχηγούς του
Operation Cronos: Το LockBit ransomware στο στόχαστρο των αρχών
Η υποδομή του LockBit ransomware κατασχέθηκε αυτή την εβδομάδα μετά την κατάργηση των sites της ομάδας στο dark web. Οι αρχές επιβολής του νόμου, από διάφορες χώρες, βοήθησαν για αυτή την επιτυχία.
Ως μέρος αυτής της κοινής επιχείρησης, δημιουργήθηκε ένα εργαλείο αποκρυπτογράφησης (LockBit 3.0 Black Ransomware) που προσφέρεται δωρεάν στα θύματα, ενώ κατασχέθηκαν και 200 crypto wallets.
Συνελήφθησαν δύο μέλη στην Πολωνία και την Ουκρανία, ενώ οι γαλλικές και οι αμερικανικές αρχές εξέδωσαν τρία διεθνή εντάλματα σύλληψης και πέντε κατηγορίες με στόχο άλλους παράγοντες απειλών LockBit. Το Υπουργείο Δικαιοσύνης των ΗΠΑ άσκησε δύο από αυτές τις κατηγορίες εναντίον των Ρώσων υπόπτων Artur Sungatov και Ivan Gennadievich Kondratiev (γνωστός και ως Bassterlord).
Οι αρχές επιβολής του νόμου δημοσίευσαν επίσης πρόσθετες πληροφορίες για τον κατασχεθέντα ιστότοπο διαρροής δεδομένων, αποκαλύπτοντας ότι η LockBit είχε τουλάχιστον 188 affiliates.
Η ransomware συμμορία LockBit έχει συνδεθεί με πολλές μεγάλες επιθέσεις.
Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει αμοιβές έως και 15 εκατομμυρίων δολαρίων για την παροχή πληροφοριών σχετικά με τα μέλη της συμμορίας ransomware και τους συνεργάτες τους.
Πάντως, όπως φαίνεται από την κατάχρηση της ευπάθειας στους ScreenConnect servers, το LockBit ransomware συνεχίζει να αποτελεί απειλή. Ήδη, από χθες, έχει γίνει γνωστό ότι η ομάδα εργαζόταν κρυφά πάνω σε μια νέα έκδοση του κακόβουλου λογισμικού που ονομάστηκε LockBit-NG-Dev (η οποία πιθανότατα θα γινόταν LockBit 4.0).
Δείτε επίσης: LockBit ransomware: Συλλήψεις μελών και εργαλείο αποκρυπτογράφησης
Οι επιθέσεις LockBit ransomware μπορούν να έχουν σοβαρές συνέπειες στα δίκτυα. Καταρχάς, μπορεί να προκληθεί απώλεια δεδομένων, καθώς το ransomware κρυπτογραφεί τα αρχεία των χρηστών εμποδίζοντας την πρόσβαση σε αυτά (αν δεν υπάρχει το αντίστοιχο κλειδί αποκρυπτογράφησης).
Επιπλέον, οι επιθέσεις αυτές μπορούν να προκαλέσουν διακοπή της λειτουργίας του δικτύου, καθώς το ransomware μπορεί να αποκλείσει την πρόσβαση σε κρίσιμες υπηρεσίες και εφαρμογές.
Σοβαρές είναι και οι οικονομικές απώλειες, καθώς οι επιτιθέμενοι συχνά απαιτούν λύτρα για την αποκρυπτογράφηση των αρχείων. Τα έξοδα μπορεί να συμπεριλαμβάνουν τόσο την άμεση πληρωμή των λύτρων, όσο και τις δαπάνες που συνδέονται με την αποκατάσταση του δικτύου.
Τέλος, οι επιθέσεις LockBit ransomware μπορούν να υπονομεύσουν την εμπιστοσύνη των πελατών και των εταίρων, εάν γίνει γνωστό ότι τα δεδομένα τους ήταν εκτεθειμένα ή κρυπτογραφημένα. Αυτό μπορεί να οδηγήσει σε απώλεια επιχειρηματικών ευκαιριών και να έχει μακροπρόθεσμες επιπτώσεις στη φήμη της εταιρείας.
Πηγή: www.bleepingcomputer.com