Οι ομάδες ransomware Black Basta και Bl00dy έχουν ενωθεί σε εκτεταμένες επιθέσεις που στοχεύουν διακομιστές ScreenConnect που δεν έχουν ενημερωθεί για μια σοβαρή ευπάθεια παράκαμψης πιστοποίησης μέγιστης σοβαρότητας.
Δείτε επίσης: ConnectWise: Ενημέρωση του ScreenConnect λόγω κρίσιμου RCE
Αυτό το κρίσιμο ελάττωμα (CVE-2024-1709) επιτρέπει σε επιτιθέμενους να δημιουργήσουν λογαριασμούς διαχειριστή σε διακεκριμένους διακομιστές που είναι εκτεθειμένοι στο διαδίκτυο, να διαγράψουν όλους τους άλλους χρήστες και να αναλάβουν τον έλεγχο οποιασδήποτε ευάλωτης συσκευής.
Η ευπάθεια CVE-2024-1709 εκμεταλλεύεται ενεργά από την προηγούμενη Τρίτη, μία μέρα μετά την έκδοση ενημερώσεων ασφαλείας από την ConnectWise και τη δημοσίευση proof-of-concept από αρκετές εταιρείες κυβερνοασφάλειας.
Την προηγούμενη εβδομάδα, η ConnectWise επιδιόρθωσε επίσης μια ευπάθεια υψηλής σοβαρότητας στη διαδρομή (CVE-2024-1708) που μπορεί να εκμεταλλευτεί μόνο από απειλητικούς φορείς με υψηλά προνόμια.
Η εταιρεία κατάργησε όλους τους περιορισμούς άδειας την προηγούμενη εβδομάδα, έτσι ώστε οι πελάτες με ληγμένες άδειες να μπορούν να προστατεύσουν τους servers τους από επιθέσεις που επηρεάζουν όλες τις εκδόσεις του ScreenConnect. Την Πέμπτη, η CISA πρόσθεσε επίσης το CVE-2024-1709 στον Κατάλογο των Εκμεταλλεύσιμων Ευπαθειών, καλώντας τις ομοσπονδιακές υπηρεσίες των Η.Π.Α. να ασφαλίσουν τους διακομιστές τους έως τις 29 Φεβρουαρίου.
Η Shadowserver αναφέρει ότι η ευπάθεια CVE-2024-1709 εκμεταλλεύεται ευρέως σε επιθέσεις, με δεκάδες IPs να επικεντρώνονται σε διακομιστές που εκτίθενται στο διαδίκτυο, ενώ η Shodan παρακολουθεί αυτή τη στιγμή πάνω από 10.000 διακομιστές ScreenConnect (μόνο 1.559 εκτελούν την ενημερωμένη έκδοση ScreenConnect 23.9.8).
Δείτε ακόμα: LockBit ransomware: Μολύνει δίκτυα μέσω ευπάθειας ScreenConnect
Κατά την ανάλυση αυτών των διαρκών επιθέσεων, η Trend Micro ανακάλυψε ότι οι ομάδες ransomware Black Basta και Bl00dy άρχισαν επίσης να εκμεταλλεύονται το ελλάτωμα του ScreenConnect για αρχική πρόσβαση και εγκατάσταση backdoors στα δίκτυα των θυμάτων με web shells.
Κατά τη διερεύνηση των επιθέσεων, η Trend Micro παρατήρησε δραστηριότητες αναγνώρισης, ανακάλυψης και εξέλιξης προνομίων μετά την πρόσβαση των επιτιθέμενων στο δίκτυο και την ανάπτυξη των Cobalt Strike beacons που σχετίζονται με το Black Basta σε παραβιασμένα συστήματα.
Η ομάδα Bl00dy χρησιμοποίησε φορτία που κατασκευάστηκαν χρησιμοποιώντας τις διαρροές δημιουργών Conti και LockBit Black.
Η Trend Micro παρατήρησε επίσης επιθέσεις στις οποίες οι εισβολείς χρησιμοποιούσαν το malware XWorm με δυνατότητες RAT και ransomware.
Άλλοι κακόβουλοι φορείς χρησιμοποίησαν τη νεοαποκτηθείσα πρόσβαση σε παραβιασμένους διακομιστές ScreenConnect για να εγκαταστήσουν διάφορα εργαλεία απομακρυσμένης διαχείρισης, όπως τα Atera και Syncro.
Η Sophos αποκάλυψε για πρώτη φορά σε έκθεση την Πέμπτη ότι τα πρόσφατα επιδιορθωμένα ελαττώματα στο ScreenConnect εκμεταλλεύονται σε επιθέσεις ransomware.
Η εταιρεία κυβερνοασφάλειας Huntress επιβεβαίωσε επίσης τα ευρήματά της την προηγούμενη εβδομάδα και δήλωσε ότι “ένας τοπικός φορέας κυβέρνησης, συμπεριλαμβανομένων συστημάτων που πιθανόν συνδέονται με τα 911 συστήματά τους” και ένα “κέντρο υγείας” έχουν επίσης πληγεί από ranswomware που εκμεταλλεύτηκαν την ανάκληση εξουσιοδότησης CVE-2024-1709 για να εισβάλουν στα δίκτυα των θυμάτων.
Δείτε επίσης: Blackcat ransomware: Στοχεύει κέντρα υγειονομικής περίθαλψης
Ποιες είναι οι καλύτερες πρακτικές για την πρόληψη του ransomware;
Για να προστατευτείτε από επιθέσεις ransomware όπως αυτή των Black Basta και Bl00dy στο ScreenConnect, η ενημέρωση και εκπαίδευση των χρηστών είναι ζωτικής σημασίας. Οι χρήστες πρέπει να γνωρίζουν τα κοινά σημάδια των επιθέσεων ransomware, όπως ύποπτα email και σύνδεσμοι. Χρησιμοποιήστε ένα ισχυρό πρόγραμμα antivirus και κρατήστε το ενημερωμένο. Διατηρήστε τα λειτουργικά συστήματα και το λογισμικό σας ενημερωμένα. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν το σύστημά σας από το ransomware. Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων και αποθηκεύστε τα σε ένα ασφαλές μέρος, όπως ένας εξωτερικός σκληρός δίσκος ή ένα cloud service. Περιορίστε τα δικαιώματα των χρηστών στο ελάχιστο απαραίτητο. Οι χρήστες που δεν έχουν την ανάγκη για δικαιώματα διαχειριστή δεν πρέπει να έχουν πρόσβαση σε αυτά, καθώς αυτό μπορεί να μειώσει τον κίνδυνο επιθέσεων ransomware.
Πηγή: bleepingcomputer
