Os cibercriminosos estão explorando duas vulnerabilidades perigosas no software de acesso remoto ConnectWise ScreenConnect para implantar o vírus ransomware LockBit. Isso indica que os recursos do grupo de hackers de mesmo nome continuam funcionando, pelo menos parcialmente.
Fonte da imagem: kalhh / pixabay.com
Especialistas em segurança cibernética da Huntress e Sophos relataram ontem que detectaram ataques LockBit realizados por meio de vulnerabilidades no popular programa de acesso remoto ConnectWise ScreenConnect. Os ataques são realizados através de duas vulnerabilidades. CVE-2024-1709 é uma vulnerabilidade de desvio de autenticação e é considerada “obscenamente fácil” de explorar – ela está em uso ativo desde a última terça-feira, ou seja, desde que o ConnectWise lançou uma atualização de software que a aborda e incentiva os clientes a instalá-la. O segundo bug, de número CVE-2024-1708, permite que códigos maliciosos sejam transmitidos remotamente para um sistema vulnerável.
Os especialistas enfatizam que, em primeiro lugar, as vulnerabilidades do ScreenConnect são ativamente exploradas pelos cibercriminosos na prática; em segundo lugar, apesar da operação levada a cabo pelas autoridades responsáveis pela aplicação da lei em vários países, alguns dos recursos do grupo LockBit continuam a funcionar. No início desta semana, agências de aplicação da lei em vários países relataram uma operação em grande escala que resultou no desligamento de 34 servidores na Europa, no Reino Unido e nos EUA, no confisco de mais de 200 carteiras de criptomoedas e na prisão de dois supostos participantes do LockBit. na Polónia e na Ucrânia.
Especialistas que descobriram uma nova onda de ataques disseram que não poderiam atribuí-la diretamente às atividades da LockBit, mas o grupo tem um grande alcance e uma extensa rede de parceiros, que não pode ser destruída rapidamente, mesmo como parte de uma operação internacional em grande escala. . ConnectWise disse que atualmente não há introdução generalizada de ransomware por meio do programa. Mas, de acordo com a Shadowserver Foundation, uma organização sem fins lucrativos que analisa atividades maliciosas na Internet, as vulnerabilidades do programa continuam a ser exploradas – no dia anterior, a ameaça vinha de 643 endereços IP e mais de 8.200 servidores permaneciam vulneráveis.