کارشناسان امنیتی هشدار می دهند هکرها از نقص های ConnectWise برای استقرار باج افزار LockBit سوء استفاده می کنند.
![](https://khabarkaav.ir/wp-content/uploads/2024/02/ransomware-bugs-black-Samuil_Levich-getty-1.jpg)
![](https://techcrunch.com/wp-content/uploads/2023/12/ransomware-bugs-black-Samuil_Levich-getty.jpg?resize=1200,800)
کارشناسان امنیتی هشدار میدهند که یک جفت نقص پرخطر در یک ابزار محبوب دسترسی از راه دور توسط هکرها برای استقرار باجافزار LockBit مورد سوء استفاده قرار میگیرد - چند روز پس از آن که مقامات اعلام کردند که باند بدنام جرایم سایبری مرتبط با روسیه را مختل کردهاند.
محققان شرکتهای امنیت سایبری Huntress و Sophos روز پنجشنبه به TechCrunch گفتند که هر دو حملات LockBit را به دنبال بهرهبرداری از مجموعهای از آسیبپذیریها که بر ConnectWise ScreenConnect، ابزار دسترسی از راه دور پرکاربردی که توسط تکنسینهای فناوری اطلاعات برای ارائه پشتیبانی فنی از راه دور در سیستمهای مشتری استفاده میشود، مشاهده کردهاند.
عیوب شامل دو باگ است. CVE-2024-1709 یک آسیبپذیری بای پس احراز هویت است که سوء استفاده از آن «بهطور شرمآوری آسان» تلقی میشود، که از روز سهشنبه، بلافاصله پس از انتشار بهروزرسانیهای امنیتی ConnectWise و درخواست سازمانها برای اصلاح، تحت بهرهبرداری فعال قرار داشت. باگ دیگر، CVE-2024-1708، یک آسیبپذیری پیمایش مسیر است که میتواند همراه با باگ دیگر برای نصب کدهای مخرب از راه دور بر روی یک سیستم آسیبدیده استفاده شود.
در پستی در Mastodon در روز پنجشنبه، Sophos بيان کرد که "چند حمله LockBit" را به دنبال سوء استفاده از آسیبپذیری ConnectWise مشاهده کرده است.
دو چیز در اینجا جالب است: اول، همانطور که توسط دیگران ذکر شده است، آسیب پذیری های ScreenConnect به طور فعال در طبیعت مورد سوء استفاده قرار می گیرند. دوم، علیرغم عملیات اجرای قانون علیه LockBit، به نظر میرسد که برخی از شرکتهای وابسته هنوز فعال و فعال هستند.
کریستوفر بود، مدیر تحقیقات تهدید در Sophos X-Ops، از طریق ایمیل به TechCrunch بيان کرد که مشاهدات این شرکت نشان میدهد که «ScreenConnect شروع زنجیره اجرای مشاهدهشده بود و نسخه ScreenConnect در حال استفاده آسیبپذیر بود».
مکس راجرز، مدیر ارشد عملیات تهدید در Huntress، به TechCrunch بيان کرد که این شرکت امنیت سایبری همچنین مشاهده کرده است که باجافزار LockBit در حملاتی که از آسیبپذیری ScreenConnect سوء استفاده میکنند، مستقر شده است.
راجرز بيان کرد که Huntress باجافزار LockBit را مشاهده کرده است که در سیستمهای مشتریان در طیف وسیعی از صنایع مستقر شده است، اما از ذکر نام مشتریان تحت تأثیر خودداری کرد.
زیرساختهای باجافزار LockBit در اوایل این هفته به عنوان بخشی از یک عملیات مجری قانون بینالمللی گسترده به رهبری آژانس ملی جرم و جنایت بریتانیا توقیف شد. این عملیات وبسایتهای عمومی LockBit، از جمله سایت تاریک وب نشت آن را که باند برای انتشار دادههای دزدیده شده از قربانیان استفاده میکرد، نابود کرد. سایت افشا شده اکنون میزبان اطلاعات کشف شده توسط عملیات تحت رهبری بریتانیا است که قابلیت ها و عملیات LockBit را افشا می کند.
این اقدام که به عنوان "عملیات کرونوس" شناخته می شود، همچنین شاهد حذف 34 سرور در سراسر اروپا، بریتانیا و ایالات متحده، توقیف بیش از 200 کیف پول رمزنگاری و دستگیری دو عضو ادعایی LockBit در لهستان و اوکراین بود.
ما نمیتوانیم [حملات باجافزاری که از نقصهای ConnectWise سوء استفاده میکنند] را مستقیماً به گروه بزرگتر LockBit نسبت دهیم، اما واضح است که LockBit دامنه وسیعی دارد که ابزار، گروههای مختلف وابسته و شاخههایی را در بر میگیرد که حتی با استفاده از آن به طور کامل پاک نشدهاند. راجرز از طریق ایمیل به TechCrunch گفت.
در پاسخ به این سوال که آیا استقرار باجافزار چیزی است که ConnectWise نیز در داخل آن را مشاهده میکند، پاتریک بگز، افسر ارشد امنیت اطلاعات ConnectWise به TechCrunch گفت: «این چیزی نیست که ما امروز شاهد آن هستیم».
هنوز مشخص نیست که چه تعداد از کاربران ConnectWise ScreenConnect تحت تأثیر این آسیب پذیری قرار گرفته اند و ConnectWise از ارائه اعداد خودداری کرده است. وب سایت این شرکت ادعا می کند که این سازمان فناوری دسترسی از راه دور خود را در اختیار بیش از یک میلیون کسب و کار کوچک تا متوسط قرار می دهد.
به گفته بنیاد Shadowserver، یک سازمان غیرانتفاعی که دادههای مربوط به فعالیتهای مخرب اینترنتی را جمعآوری و تجزیه و تحلیل میکند، نقصهای ScreenConnect «بهطور گسترده مورد سوء استفاده قرار میگیرند». این سازمان غیرانتفاعی روز پنجشنبه در پستی در X، که قبلا توییتر بود، بيان کرد که تاکنون 643 آدرس IP را مشاهده کرده است که از این آسیبپذیریها سوء استفاده میکنند – و اضافه کرد که بیش از 8200 سرور آسیبپذیر هستند.
ارسال نظر