کارشناسان امنیتی هشدار می‌دهند که یک جفت نقص پرخطر در یک ابزار محبوب دسترسی از راه دور توسط هکرها برای استقرار باج‌افزار LockBit مورد سوء استفاده قرار می‌گیرد - چند روز پس از آن که مقامات اعلام کردند که باند بدنام جرایم سایبری مرتبط با روسیه را مختل کرده‌اند.

محققان شرکت‌های امنیت سایبری Huntress و Sophos روز پنج‌شنبه به TechCrunch گفتند که هر دو حملات LockBit را به دنبال بهره‌برداری از مجموعه‌ای از آسیب‌پذیری‌ها که بر ConnectWise ScreenConnect، ابزار دسترسی از راه دور پرکاربردی که توسط تکنسین‌های فناوری اطلاعات برای ارائه پشتیبانی فنی از راه دور در سیستم‌های مشتری استفاده می‌شود، مشاهده کرده‌اند.

عیوب شامل دو باگ است. CVE-2024-1709 یک آسیب‌پذیری بای پس احراز هویت است که سوء استفاده از آن «به‌طور شرم‌آوری آسان» تلقی می‌شود، که از روز سه‌شنبه، بلافاصله پس از انتشار به‌روزرسانی‌های امنیتی ConnectWise و درخواست سازمان‌ها برای اصلاح، تحت بهره‌برداری فعال قرار داشت. باگ دیگر، CVE-2024-1708، یک آسیب‌پذیری پیمایش مسیر است که می‌تواند همراه با باگ دیگر برای نصب کدهای مخرب از راه دور بر روی یک سیستم آسیب‌دیده استفاده شود.

در پستی در Mastodon در روز پنجشنبه، Sophos بيان کرد که "چند حمله LockBit" را به دنبال سوء استفاده از آسیب‌پذیری ConnectWise مشاهده کرده است.

دو چیز در اینجا جالب است: اول، همانطور که توسط دیگران ذکر شده است، آسیب پذیری های ScreenConnect به طور فعال در طبیعت مورد سوء استفاده قرار می گیرند. دوم، علیرغم عملیات اجرای قانون علیه LockBit، به نظر می‌رسد که برخی از شرکت‌های وابسته هنوز فعال و فعال هستند.

کریستوفر بود، مدیر تحقیقات تهدید در Sophos X-Ops، از طریق ایمیل به TechCrunch بيان کرد که مشاهدات این شرکت نشان می‌دهد که «ScreenConnect شروع زنجیره اجرای مشاهده‌شده بود و نسخه ScreenConnect در حال استفاده آسیب‌پذیر بود».

مکس راجرز، مدیر ارشد عملیات تهدید در Huntress، به TechCrunch بيان کرد که این شرکت امنیت سایبری همچنین مشاهده کرده است که باج‌افزار LockBit در حملاتی که از آسیب‌پذیری ScreenConnect سوء استفاده می‌کنند، مستقر شده است.

راجرز بيان کرد که Huntress باج‌افزار LockBit را مشاهده کرده است که در سیستم‌های مشتریان در طیف وسیعی از صنایع مستقر شده است، اما از ذکر نام مشتریان تحت تأثیر خودداری کرد.

زیرساخت‌های باج‌افزار LockBit در اوایل این هفته به عنوان بخشی از یک عملیات مجری قانون بین‌المللی گسترده به رهبری آژانس ملی جرم و جنایت بریتانیا توقیف شد. این عملیات وب‌سایت‌های عمومی LockBit، از جمله سایت تاریک وب نشت آن را که باند برای انتشار داده‌های دزدیده شده از قربانیان استفاده می‌کرد، نابود کرد. سایت افشا شده اکنون میزبان اطلاعات کشف شده توسط عملیات تحت رهبری بریتانیا است که قابلیت ها و عملیات LockBit را افشا می کند.

این اقدام که به عنوان "عملیات کرونوس" شناخته می شود، همچنین شاهد حذف 34 سرور در سراسر اروپا، بریتانیا و ایالات متحده، توقیف بیش از 200 کیف پول رمزنگاری و دستگیری دو عضو ادعایی LockBit در لهستان و اوکراین بود.

ما نمی‌توانیم [حملات باج‌افزاری که از نقص‌های ConnectWise سوء استفاده می‌کنند] را مستقیماً به گروه بزرگ‌تر LockBit نسبت دهیم، اما واضح است که LockBit دامنه وسیعی دارد که ابزار، گروه‌های مختلف وابسته و شاخه‌هایی را در بر می‌گیرد که حتی با استفاده از آن به طور کامل پاک نشده‌اند. راجرز از طریق ایمیل به TechCrunch گفت.

در پاسخ به این سوال که آیا استقرار باج‌افزار چیزی است که ConnectWise نیز در داخل آن را مشاهده می‌کند، پاتریک بگز، افسر ارشد امنیت اطلاعات ConnectWise به TechCrunch گفت: «این چیزی نیست که ما امروز شاهد آن هستیم».

هنوز مشخص نیست که چه تعداد از کاربران ConnectWise ScreenConnect تحت تأثیر این آسیب پذیری قرار گرفته اند و ConnectWise از ارائه اعداد خودداری کرده است. وب سایت این شرکت ادعا می کند که این سازمان فناوری دسترسی از راه دور خود را در اختیار بیش از یک میلیون کسب و کار کوچک تا متوسط ​​قرار می دهد.

به گفته بنیاد Shadowserver، یک سازمان غیرانتفاعی که داده‌های مربوط به فعالیت‌های مخرب اینترنتی را جمع‌آوری و تجزیه و تحلیل می‌کند، نقص‌های ScreenConnect «به‌طور گسترده مورد سوء استفاده قرار می‌گیرند». این سازمان غیرانتفاعی روز پنجشنبه در پستی در X، که قبلا توییتر بود، بيان کرد که تاکنون 643 آدرس IP را مشاهده کرده است که از این آسیب‌پذیری‌ها سوء استفاده می‌کنند – و اضافه کرد که بیش از 8200 سرور آسیب‌پذیر هستند.

خبرکاو