Güvenlik uzmanları, popüler bir uzaktan erişim aracındaki bir çift yüksek riskli kusurun, yetkililer tarafından birkaç gün sonra LockBit fidye yazılımını dağıtmak için bilgisayar korsanları tarafından istismar edildiği konusunda uyarıyor Rusya bağlantılı kötü şöhretli siber suç çetesini çökerttiklerini duyurdular.
Siber güvenlik şirketleri Huntress ve Sophos'taki araştırmacılar Perşembe günü TechCrunch'a her ikisinin de LockBit saldırılarını gözlemlediklerini söyledi. bir dizi güvenlik açığı BT teknisyenleri tarafından müşteri sistemlerine uzaktan teknik destek sağlamak için kullanılan, yaygın olarak kullanılan bir uzaktan erişim aracı olan ConnectWise ScreenConnect'i etkiliyor.
Kusurlar iki hatadan oluşur. CVE-2024-1709: istismar edilmesi “utanç verici derecede kolay” kabul edilen bir kimlik doğrulama atlama güvenlik açığıConnectWise'ın güvenlik güncellemelerini yayınlamasından ve kuruluşları yama yapmaya teşvik etmesinden kısa bir süre sonra, Salı gününden bu yana aktif olarak istismar edilen . Diğer hata, CVE-2024-1708, etkilenen sisteme uzaktan kötü amaçlı kod yerleştirmek için diğer hatayla birlikte kullanılabilen bir yol geçiş güvenlik açığıdır.
İçinde Mastodon'da bir yazı Perşembe günü Sophos, ConnectWise güvenlik açıklarından yararlanılmasının ardından “birkaç LockBit saldırısı” gözlemlediğini söyledi.
“Burada ilgi çekici olan iki şey var: Birincisi, başkalarının da belirttiği gibi, ScreenConnect'teki güvenlik açıkları vahşi ortamda aktif olarak kullanılıyor. İkincisi, LockBit'e karşı yürütülen kolluk kuvvetleri operasyonuna rağmen, sanki bazı bağlı kuruluşlar hala çalışır durumda gibi görünüyor.” dedi Sophos. Bu hafta başında LockBit'in altyapısını çökerttiğini iddia eden kolluk kuvvetleri operasyonu.
Sophos X-Ops tehdit araştırması direktörü Christopher Budd, TechCrunch'a e-posta yoluyla şirketin gözlemlerinin “ScreenConnect'in gözlemlenen yürütme zincirinin başlangıcı olduğunu ve kullanılan ScreenConnect sürümünün savunmasız olduğunu” gösterdiğini söyledi.
Huntress'in tehdit operasyonlarından sorumlu kıdemli yöneticisi Max Rogers, TechCrunch'a siber güvenlik şirketinin ScreenConnect güvenlik açığından yararlanan saldırılarda LockBit fidye yazılımının kullanıldığını da gözlemlediğini söyledi.
Rogers, Huntress'in LockBit fidye yazılımının çeşitli sektörlere yayılan müşteri sistemlerine dağıtıldığını gördüğünü ancak etkilenen müşterilerin isimlerini vermeyi reddettiğini söyledi.
LockBit fidye yazılımının altyapısı, İngiltere Ulusal Suç Ajansı'nın liderliğindeki kapsamlı bir uluslararası kolluk kuvvetleri operasyonunun bir parçası olarak bu hafta başında ele geçirildi. Operasyon, çetenin kurbanlardan çalınan verileri yayınlamak için kullandığı karanlık web sızıntı sitesi de dahil olmak üzere LockBit'in halka açık web sitelerini çökertti. Sızıntı sitesi artık İngiltere liderliğindeki operasyon tarafından ortaya çıkarılan bilgileri barındırıyor LockBit'in yeteneklerini ve operasyonlarını ortaya çıkarmak.
“Cronos Operasyonu” olarak bilinen eylemde aynı zamanda Avrupa, İngiltere ve ABD'de 34 sunucunun kapatılması, 200'den fazla kripto para birimi cüzdanının ele geçirilmesi ve Polonya ve Ukrayna'da LockBit üyesi olduğu iddia edilen iki kişinin tutuklanması da görüldü.
“Atıf yapamayız [the ransomware attacks abusing the ConnectWise flaws] Rogers, TechCrunch'a e-posta yoluyla şunları söyledi: “Doğrudan daha büyük LockBit grubuna, ancak LockBit'in takımları, çeşitli bağlı kuruluş gruplarını ve kolluk kuvvetleri tarafından büyük ölçüde ortadan kaldırılmasına rağmen tamamen silinmemiş yan dalları kapsayan geniş bir erişime sahip olduğu açıktır.”
Fidye yazılımı dağıtımının ConnectWise'ın dahili olarak gözlemlediği bir şey olup olmadığı sorulduğunda ConnectWise baş bilgi güvenliği sorumlusu Patrick Beggs, TechCrunch'a “bu, bugün itibariyle gördüğümüz bir şey değil” dedi.
Kaç ConnectWise ScreenConnect kullanıcısının bu güvenlik açığından etkilendiği bilinmiyor ve ConnectWise sayı vermeyi reddetti. Şirketin web sitesi, kuruluşun uzaktan erişim teknolojisini bir milyondan fazla küçük ve orta ölçekli işletmeye sağladığını iddia ediyor.
Kötü niyetli internet faaliyetlerine ilişkin verileri toplayan ve analiz eden kar amacı gütmeyen bir kuruluş olan Shadowserver Foundation'a göre ScreenConnect kusurları “geniş çapta istismar ediliyor.” Kâr amacı gütmeyen kuruluş Perşembe günü şunları söyledi: X'teki bir gönderideEski adıyla Twitter, şu ana kadar 643 IP adresinin güvenlik açıklarından yararlandığını gözlemlediğini ve 8.200'den fazla sunucunun savunmasız kaldığını ekledi.
Kaynak bağlantısı