Эксперты по безопасности предупреждают, что хакеры используют две уязвимости высокого риска в популярном инструменте удаленного доступа для развертывания программы-вымогателя LockBit – через несколько дней после того, как власти объявили, что ликвидировали пресловутую банду киберпреступников, связанную с Россией.

Исследователи из фирм по кибербезопасности Huntress и Sophos сообщили TechCrunch в четверг, что они оба наблюдали атаки LockBit после эксплуатации набора уязвимостей, затрагивающих ConnectWise ScreenConnect, инструмент удаленного доступа, широко используемый ИТ-специалистами для оказания удаленной технической помощи в системах клиентов.

Недостатки состоят из двух ошибок. CVE-2024-1709 — это уязвимость обхода аутентификации, которую считают «смущающей и простой» в использовании. Она активно используется со вторника, вскоре после того, как ConnectWise выпустила обновления безопасности и призвала организации применить исправления. Другая ошибка, CVE-2024-1708, представляет собой уязвимость обхода пути, которую можно использовать в сочетании с другой ошибкой для удаленной установки вредоносного кода в уязвимую систему.

В статья о Мастодонте В четверг Sophos заявила, что наблюдала «множественные атаки LockBit» после эксплуатации уязвимостей ConnectWise.

«Здесь есть две интересные вещи: во-первых, как уже отмечали другие, уязвимости ScreenConnect активно эксплуатируются в дикой природе. Во-вторых, несмотря на полицейскую операцию против LockBit, похоже, что некоторые филиалы все еще работают», — сказал Софос, имея в виду полицейскую операцию, проведенную ранее на этой неделе и направленную на разрушение инфраструктуры LockBit.

Кристофер Бадд, директор по исследованию угроз компании Sophos, использовал уязвимость».

Макс Роджерс, старший директор по операциям с угрозами в Huntress, рассказал TechCrunch, что компания по кибербезопасности также наблюдала использование программы-вымогателя LockBit в атаках, использующих уязвимость ScreenConnect.

Роджерс сказал, что Хантресс видела, как программа-вымогатель LockBit была развернута в системах клиентов, охватывающих различные отрасли, но отказалась назвать имена затронутых клиентов.

ЧИТАТЬ   Почему компания по разработке блокчейна необходима для вашего бизнеса?

Инфраструктура программы-вымогателя LockBit была захвачена ранее на этой неделе в рамках крупной международной правоохранительной операции, проводимой Национальным агентством по борьбе с преступностью Великобритании. В ходе операции были заблокированы общедоступные веб-сайты LockBit, в том числе сайт утечки информации в темной сети, который банда использовала для публикации данных, украденных у жертв. На сайте утечки теперь размещена информация, обнаруженная в ходе операции под руководством Великобритании, раскрывающая возможности и операции LockBit.

В ходе акции, известной как «Операция Кронос», также были отключены 34 сервера в Европе, Великобритании и США, конфискованы более 200 криптовалютных кошельков и арестованы два подозреваемых члена LockBit в Польше и Украине.

«Мы не можем приписать [the ransomware attacks abusing the ConnectWise flaws] напрямую к более крупной группе LockBit, но ясно, что LockBit имеет широкий охват, охватывающий инструменты, различные дочерние группы и ответвления, которые не были полностью очищены даже после серьезного отступления правоохранительных органов», — сообщил Роджерс TechCrunch по электронной почте.

Когда Патрика Беггса, директора по информационной безопасности ConnectWise, спросили, наблюдает ли за развертыванием программ-вымогателей внутри компании ConnectWise, он ответил TechCrunch, что «сегодня мы этого не наблюдаем».

Неясно, сколько пользователей ConnectWise ScreenConnect пострадало от этой уязвимости, и ConnectWise отказался предоставить цифры. На сайте компании утверждается, что организация предоставляет свою технологию удаленного доступа более чем миллиону малых и средних предприятий.

По данным Shadowserver Foundation, некоммерческой организации, которая собирает и анализирует данные о вредоносной активности в Интернете, недостатки ScreenConnect «широко используются». Об этом сообщила некоммерческая организация в четверг. в сообщении наРанее Twitter на данный момент обнаружил 643 IP-адреса, использующих эти уязвимости, добавив, что более 8200 серверов остаются уязвимыми.

ЧИТАТЬ   General Atlantic запускает серию C на сумму 50 миллионов долларов, выделенную жирным шрифтом, для расширения цифровых платежей в Колумбии | TechCrunch



Source

От admin