Новости Серверы ScreenConnect стали мишенью для LockBit: кто стоит за атаками, если группа уже ликвидирована?

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Один день без обновлений превратился в кошмар для тысяч серверов.


okoe3in3egju3hlx1pay9yu18vwkgn36.jpg


Злоумышленники активно используют уязвимость ScreenConnect для взлома необновленных серверов с целью развертывания программы-вымогателя LockBit в скомпрометированных сетях.

Уязвимость обхода аутентификации Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 10.0) стала объектом активной эксплуатации с 20 февраля, всего через день после того, как компания ConnectWise Для просмотра ссылки Войди или Зарегистрируйся обновления безопасности. Также была устранена уязвимость обхода пути (path-traversal) Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.4), приводящая к удаленному выполнению кода (Remote Code Execution, RCE). Атаки могут осуществляться дистанционно и не требуют взаимодействия с пользователем.

Обе проблемы влияют на все версии ScreenConnect, что побудило компанию убрать все ограничения на лицензии, дав возможность клиентам с истекшими лицензиями обновить ПО до последней версии и защитить свои серверы от атак. Агентство CISA добавило CVE-2024-1709 в свой каталог KEV.

Платформа мониторинга угроз Shadowserver ранее сообщила, что 643 IP-адреса эксплуатируют CVE-2024-1709. Shodan отслеживает более 8 659 серверов ScreenConnect, из которых только 980 работают на обновленной версии ScreenConnect 23.9.8.

По Для просмотра ссылки Войди или Зарегистрируйся Sophos X-Ops, что в ходе атак злоумышленники развертывают программу-вымогатель LockBit на системах жертв, получая доступ через эксплуатацию указанных недостатков ScreenConnect. Компания Huntress подтвердила атаки на местные органы власти, экстренную службу и медицинскую клинику с использованием уязвимости CVE-2024-1709.

Несмотря на Для просмотра ссылки Войди или Зарегистрируйся против LockBit, некоторые партнеры группы продолжают свою деятельность. Специалисты Huntress заявили, что они не могут приписать атаки напрямую самой группировке LockBit, но ясно, что LockBit имеет большой охват, включая инструменты, различные дочерние группы и ответвления, которые не были полностью ликвидированы даже после действий спецслужб.

В рамках Для просмотра ссылки Войди или Зарегистрируйся , начавшейся в понедельник, 19 февраля, были арестованы уже по меньшей мере три соучастника известной вымогательской банды LockBit в Польше и Украине. Эти аресты последовали за Для просмотра ссылки Войди или Зарегистрируйся тёмной сети LockBit, используемой группировкой для угроз своим жертвам и публикации украденных данных в случае неуплаты выкупа.
 
Источник новости
www.securitylab.ru

Похожие темы