Zaobserwowano, iż więcej gangów zajmujących się oprogramowaniem ransomware, w tym osławiona operacja Black Basta, wykorzystuje dwie istotne luki w platformie systemu ConnectWise ScreenConnect: ujawniono w poniedziałek 19 lutego 2024 r.
CVE-2024-1708 i CVE-2024-1709 to luki w zabezpieczeniach związane z przechodzeniem ścieżki i obejściem uwierzytelniania, posiadające wyniki CVSS odpowiednio 8,4 i 10. ConnectWise udostępniło poprawki i szczegóły tych poprawek, wskaźniki kompromisu (IoC) i wersje podatne na ataki, można znaleźć tutaj. Są opisywane jako łatwe w wykorzystaniu i niezwykle niebezpieczne.
W piątek 23 lutego okazało się, iż jest to ugrupowanie zagrażające używając wyciekłej wersji LockBit – prawdopodobnie nie LockBit, biorąc pod uwagę niedawne kłopoty tego gangu – zaczął wykorzystywać luki w zabezpieczeniach ConnectWise ScreenConnect w atakach ransomware.
Dzisiaj rano (wtorek 27 lutego) badacze firmy Trend Micro: Ian Kenefick, Junestherry Dela Cruz i Peter Girnus opublikował nowy wywiad ujawniają odkrycie gangów systemu ransomware Black Basta i Bl00dy wykorzystujących luki w zabezpieczeniach ConnectWise ScreenConnect w celu atakowania organizacji, których do tej pory nie udało się załatać.
„Nasza telemetria wykazała, iż różne grupy cyberprzestępców wykorzystują luki w zabezpieczeniach ConnectWise ScreenConnect, stosując różne taktyki, od wdrażania systemu ransomware po ataki polegające na kradzieży informacji i eksfiltracji danych” – napisano zespół w swoim zawiadomieniu o ujawnieniu.
„Te działania, które wynikają z różnych zestawów włamań, podkreślają pilną potrzebę zabezpieczenia systemów przed tymi lukami…. To dodatkowo podkreśla pilną potrzebę posiadania przez użytkowników ScreenConnect skutecznych strategii obrony i szybkiego instalowania poprawek”.
Czarna Basta – która ostatnio zaatakował systemy użyteczności publicznej Southern Water w Wielkiej Brytanii – zaobserwowano rozmieszczenie sygnalizatorów Cobalt Strike w niektórych środowiskach w celu przeprowadzenia rozpoznania, odkrycia zasobów i eskalacji uprawnień przed wykonaniem końcowych etapów ataku.
Inną grupę, której firma Trend Micro nie zidentyfikowała, wyśledzono po tym, jak zaobserwowano próbę wyłączenia funkcji monitorowania w czasie rzeczywistym w programie Windows Defender przy użyciu programu PowerShell, po czym wdrożono również Cobalt Strike.
Obecność Bl00dy, który w zeszłym roku uderzył w wiele celów w dniu zerowym na platformie systemu do zarządzania drukiemzostało stwierdzone przez firmę Trend Micro po zaobserwowaniu, jak grupa wdrażała wersje szafek Conti i LockBit Black (LockBit 3.0), które wyciekły.
Śledzono także podmioty zagrażające, które wykorzystywały luki w zabezpieczeniach ConnectWise ScreenConnect przy użyciu wieloaspektowego złośliwego systemu XWorm, które oferuje zdalny dostęp, możliwości samorozprzestrzeniania się, eksfiltrację danych, a także jest w stanie pobierać dodatkowe ładunki.
„Podkreślamy pilną potrzebę aktualizacji systemu do najnowszej wersji. Natychmiastowe łatanie jest nie tylko wskazane; ochrona systemów przed zidentyfikowanymi zagrożeniami jest krytycznym wymogiem bezpieczeństwa” – napisał zespół Trend Micro.
„Wykorzystanie tych luk może zagrozić wrażliwym danym, zakłócić operacje biznesowe i spowodować znaczne straty finansowe. Fakt, iż ugrupowania zagrażające aktywnie wykorzystują te słabości do dystrybucji systemu ransomware, dodatkowo zwiększa pilność podjęcia natychmiastowych działań naprawczych”.
Łatwo pobity
Naukowcy z Huntress Securityktórzy śledzili luki w zabezpieczeniach ConnectWise ScreenConnect od czasu ich ujawnienia i jako jedni z pierwszych rozpoznali powagę tych dwóch luk, stwierdzili, iż cyberprzestępców, którzy wykorzystywali te luki, można łatwo zatrzymać, po prostu dlatego, iż nie zrobili nic nowego takie jak.
„Ten niezwykle interesujący exploit ScreenConnect zachwycił wielu z nas w Huntress przez ostatnie kilka dni, ale szkoda, iż nasi przeciwnicy nie zobowiązali się do połączenia tego nowego exploita z nowy tradecraft” – napisał zespół Huntress w aktualizacji opublikowanej 23 lutego.
Huntress stwierdziła, iż większość zaobserwowanych do tej pory działań po kompromisie nie była nowatorska, oryginalna ani wybitna po prostu dlatego, iż większość aktorów zagrażających nie są specjalnie wyrafinowane i tak naprawdę nie wiedzą, co robić poza rzemiosłem proceduralnym, więc trzymają się sprawdzonych metod. To sprawia, iż łatwo ich pokonać przez w połowie kompetentny zespół ds. bezpieczeństwa.
