Восстание LockBit: вымогатели заражают сотни серверов ScreenConnect с устаревшим ПО

[Artifact]

Операторы продолжают проводить атаки, несмотря на ликвидацию своей инфраструктуры.
Злоумышленники активно используют уязвимость ScreenConnect для взлома необновленных серверов с целью развертывания программы-вымогателя LockBit в скомпрометированных сетях.
Уязвимость обхода аутентификации CVE-2024-1709 (оценка CVSS: 10.0) стала объектом активной эксплуатации с 20 февраля, всего через день после того, как компания ConnectWise выпустила обновления безопасности. Также была устранена уязвимость обхода пути (path-traversal) CVE-2024-1708 (оценка CVSS: 8.4), приводящая к удаленному выполнению кода (Remote Code Execution, RCE). Атаки могут осуществляться дистанционно и не требуют взаимодействия с пользователем.
Обе проблемы влияют на все версии ScreenConnect, что побудило компанию убрать все ограничения на лицензии, дав возможность клиентам с истекшими лицензиями обновить ПО до последней версии и защитить свои серверы от атак. Агентство CISA добавило CVE-2024-1709 в свой каталог KEV.
Платформа мониторинга угроз Shadowserver ранее сообщила, что 643 IP-адреса эксплуатируют CVE-2024-1709. Shodan отслеживает более 8 659 серверов ScreenConnect, из которых только 980 работают на обновленной версии ScreenConnect 23.9.8.
По данным Sophos X-Ops, что в ходе атак злоумышленники развертывают программу-вымогатель LockBit на системах жертв, получая доступ через эксплуатацию указанных недостатков ScreenConnect. Компания Huntress подтвердила атаки на местные органы власти, экстренную службу и медицинскую клинику с использованием уязвимости CVE-2024-1709.
Несмотря на недавнюю операцию правоохранительных органов против LockBit, некоторые партнеры группы продолжают свою деятельность. Специалисты Huntress заявили, что они не могут приписать атаки напрямую самой группировке LockBit, но ясно, что LockBit имеет большой охват, включая инструменты, различные дочерние группы и ответвления, которые не были полностью ликвидированы даже после действий спецслужб.
В рамках международной операции «Кронос» , начавшейся в понедельник, 19 февраля, были арестованы уже по меньшей мере три соучастника известной вымогательской банды LockBit в Польше и Украине. Эти аресты последовали за ликвидацией инфраструктуры тёмной сети LockBit, используемой группировкой для угроз своим жертвам и публикации украденных данных в случае неуплаты выкупа.