Търсене
Close this search box.

Сървърите на ScreenConnect са хакнати при атаки с рансъмуер LockBit

Нападателите използват уязвимост за заобикаляне на удостоверяването с максимална тежест, за да пробият непоправените сървъри ScreenConnect и да разположат LockBit ransomware товари в компрометирани мрежи.

Недостатъкът с максимална тежест CVE-2024-1709 за заобикаляне на автентичността се експлоатира активно от вторник, един ден след като ConnectWise пусна актуализации на сигурността и няколко компании за киберсигурност публикуваха доказателства за концептуални експлойти.

ConnectWise също така закърпи уязвимостта с висока степен на опасност CVE-2024-1708 за обхождане на пътища, която може да бъде използвана само от заплахи с високи привилегии.

И двата бъга в сигурността засягат всички версии на ScreenConnect, което накара компанията в сряда да премахне всички лицензионни ограничения, така че клиентите с изтекли лицензи да могат да надградят до най-новата версия на софтуера и да защитят сървърите си от атаки.

CISA също така добави днес CVE-2024-1709 към своя каталог на известните експлоатирани уязвимости, като нареди на федералните агенции на САЩ да защитят сървърите си в рамките на една седмица до 29 февруари.

В момента Shodan проследява над 8 659 сървъра ScreenConnect, а само 980 работят с коригираната версия ScreenConnect 23.9.8.

Internet-exposed ScreenConnect servers
Изложени на риск сървъри на ScreenConnect в интернет (Shodan)

Използвани при атаки с рансъмуер LockBit

Днес Sophos X-Ops разкри, че извършителите на заплахи разполагат LockBit ransomware в системите на жертвите, след като са получили достъп, използвайки експлойти, насочени към тези две уязвимости на ScreenConnect.

„През последните 24 часа наблюдавахме няколко LockBit атаки, очевидно след използване на последните уязвимости ConnectWise ScreenConnect (CVE-2024-1708 / CVE-2024-1709)“, заявиха от оперативната група за реагиране на заплахи на Sophos.

Използвани при атаки с LockBit

Днес Sophos X-Ops разкри, че извършителите на заплахите разполагат LockBit ransomware в системите на жертвите, след като са получили достъп, използвайки експлойти, насочени към тези две уязвимости на ScreenConnect.

„През последните 24 часа наблюдавахме няколко LockBit атаки, очевидно след използване на последните уязвимости ConnectWise ScreenConnect (CVE-2024-1708 / CVE-2024-1709)“, заявиха от оперативната група за реагиране на заплахи на Sophos.

„Две неща, които представляват интерес тук: първо, както беше отбелязано от други, уязвимостите ScreenConnect се експлоатират активно в дивата природа. Второ, въпреки операцията на правоприлагащите органи срещу LockBit, изглежда, че някои филиали все още са в действие.“

Компанията за киберсигурност Huntress потвърди своите констатации и заяви, че „местно правителство, включително системи, вероятно свързани с техните системи 911“ и „здравна клиника“ също са били засегнати от атакуващите LockBit ransomware, които са използвали експлойти CVE-2024-1709, за да пробият техните мрежи.

„Можем да потвърдим, че разгърнатият зловреден софтуер е свързан с Lockbit“, казва Huntress в имейл.

„Не можем да припишем това директно на по-голямата група LockBit, но е ясно, че Lockbit има голям обхват, който обхваща инструменти, различни партньорски групи и разклонения, които не са били напълно заличени дори след голямото изземване от правоприлагащите органи.“

LockBit е ликвидирана в рамките на операция Cronos

Инфраструктурата на рансъмуера LockBit беше иззета тази седмица, след като сайтовете му за изтичане на информация в тъмната мрежа бяха свалени в понеделник в рамките на глобална операция на правоприлагащите органи с кодово име Operation Cronos, ръководена от Националната агенция за борба с престъпността (NCA) на Обединеното кралство.

Като част от тази съвместна операция Националната полицейска агенция на Япония разработи безплатен декриптор на LockBit 3.0 Black Ransomware, като използва над 1000 ключа за декриптиране, извлечени от иззетите сървъри на LockBit и публикувани на портала „No More Ransom“.

По време на операция „Кронос“ няколко филиали на LockBit бяха арестувани в Полша и Украйна, а френските и американските власти издадоха три международни заповеди за арест и пет обвинителни акта, насочени срещу други участници в заплахите от LockBit. Министерството на правосъдието на САЩ повдигна две от тези обвинения срещу руските заподозрени Артур Сунгатов и Иван Генадиевич Кондратиев (известен още като Bassterlord).

Правоприлагащите органи публикуваха и допълнителна информация на иззетия сайт за изтичане на информация от тъмната мрежа на групата, разкривайки, че LockBit има поне 188 филиала от появата си през септември 2019 г.

През последните четири години LockBit е заявявала атаки срещу много мащабни и правителствени организации по целия свят, включително Boeing, автомобилния гигант Continental, британската Кралска поща и италианската Служба за вътрешни приходи.

Държавният департамент на САЩ вече предлага награди в размер до 15 млн. долара за предоставяне на информация за членовете на бандата за откуп LockBit и техните сътрудници.

 

 

Източник: По материали от Интернет

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
Бъдете социални
Още по темата
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!