23 Şubat 07:02 EST güncellemesi: Sophos bugün, tespit ettiği fidye yazılımı yüklerinin, Eylül 2022’nin sonlarında hoşnutsuz bir kötü amaçlı yazılım geliştiricisi tarafından internete sızdırılan LockBit fidye yazılımı oluşturucusu kullanılarak oluşturulduğunu belirten bir rapor yayınladı.
Sophos’un bu haftaki saldırılarda gördüğü örnekler, 30 farklı müşteri ağına bırakılan bir buhtiRansom LockBit çeşidi ve sızdırılan Lockbit oluşturucu kullanılarak oluşturulan (ve farklı bir tehdit aktörü tarafından bırakılan) ikinci bir veriydi.
“22 Şubat 2024’te Sophos X-Ops, sosyal medya hesabımız aracılığıyla, LockBit tehdit grubu grubuna karşı son dönemdeki kolluk kuvvetleri faaliyetlerine rağmen, önceki 24 saat içinde LockBit fidye yazılımıyla gerçekleştirilmiş gibi görünen birkaç saldırı gözlemlediğimizi bildirdi. Sophos, sızdırılmış bir kötü amaçlı yazılım oluşturma aracı kullanılarak oluşturuldu” dedi.
“İmza tabanlı algılamamız, yükleri sızdırılan LockBit oluşturucusu tarafından oluşturulan fidye yazılımı olarak doğru bir şekilde tanımlamış gibi görünüyor, ancak bu yüklerin bıraktığı fidye notlarından biri “buhtiRansom” olarak tanımlandı, diğerinin ise fidye notunda bir adı yoktu. “
Başlık buna göre revize edildi. Orijinal hikaye aşağıda.
Saldırganlar, yama uygulanmamış ScreenConnect sunucularını ihlal etmek ve güvenliği ihlal edilmiş ağlara LockBit fidye yazılımı yüklerini dağıtmak için maksimum önem düzeyindeki kimlik doğrulama atlama güvenlik açığından yararlanıyor.
Maksimum önem derecesine sahip CVE-2024-1709 kimlik doğrulama bypass kusuru, ConnectWise’ın güvenlik güncellemelerini yayınlamasından ve birkaç siber güvenlik şirketinin kavram kanıtı istismarları yayınlamasından bir gün sonra, Salı gününden bu yana aktif olarak istismar ediliyor.
ConnectWise ayrıca yalnızca yüksek ayrıcalıklara sahip tehdit aktörleri tarafından kötüye kullanılabilen CVE-2024-1708 yüksek önem dereceli yol geçiş güvenlik açığını da yamaladı.
Her iki güvenlik hatası da tüm ScreenConnect sürümlerini etkileyerek, süresi dolmuş lisanslara sahip müşterilerin en son yazılım sürümüne yükseltme yapabilmesi ve sunucularını saldırılara karşı koruyabilmesi için Çarşamba günü şirketten tüm lisans kısıtlamalarını kaldırmasını istedi.
CISA, Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna bugün CVE-2024-1709’u ekleyerek ABD federal kurumlarına 29 Şubat’a kadar bir hafta içinde sunucularını güvence altına almalarını emretti.
CVE-2024-1709 artık yaygın olarak sömürülen Güvenlik tehdidi izleme platformu Shadowserver’a göre, şu anda savunmasız sunucuları hedef alan 643 IP var.
Shodan şu anda 8.659’dan fazla ScreenConnect sunucusunu izliyor ve yalnızca 980’i ScreenConnect 23.9.8 yamalı sürümünü çalıştırıyor.
LockBit fidye yazılımı saldırılarında istismar edildi
Bugün Sophos X-Ops, tehdit aktörlerinin bu iki ScreenConnect güvenlik açığını hedef alan açıklardan yararlanarak erişim sağladıktan sonra kurbanların sistemlerine LockBit fidye yazılımı dağıttığını ortaya çıkardı.
Sophos’un tehdit müdahale görev gücü, “Son 24 saat içinde, ConnectWise ScreenConnect’teki son güvenlik açıklarının (CVE-2024-1708 / CVE-2024-1709) kullanılmasından sonra olduğu anlaşılan birkaç LockBit saldırısı gözlemledik” dedi.
“Burada ilgi çekici olan iki şey var: birincisi, başkaları tarafından da belirtildiği gibi, ScreenConnect’teki güvenlik açıkları vahşi doğada aktif olarak istismar ediliyor. İkincisi, LockBit’e karşı kolluk kuvvetlerinin yürüttüğü operasyona rağmen, bazı bağlı kuruluşların hala çalışır durumda olduğu görülüyor.”
Siber güvenlik şirketi Huntress bulgularını doğruladı ve BleepingComputer’a “911 Sistemlerine bağlı sistemler de dahil olmak üzere yerel bir hükümetin” ve bir “sağlık kliniğinin” de ağlarını ihlal etmek için CVE-2024-1709 açıklarını kullanan LockBit fidye yazılımı saldırganları tarafından vurulduğunu söyledi. .
Huntress bir e-postada, “Konumlandırılan kötü amaçlı yazılımın Lockbit ile ilişkili olduğunu doğrulayabiliriz” dedi.
“Bunu doğrudan daha büyük LockBit grubuna atfedemeyiz, ancak lockbit’in araçları, çeşitli bağlı kuruluş gruplarını ve kolluk kuvvetleri tarafından büyük bir yayından kaldırılmasına rağmen tamamen silinmemiş yan dalları kapsayan geniş bir erişime sahip olduğu açıktır.”
LockBit Cronos Operasyonunda parçalandı
LockBit fidye yazılımının altyapısı, bu hafta karanlık web sızıntı sitelerinin Pazartesi günü Birleşik Krallık Ulusal Suç Ajansı (NCA) liderliğindeki Cronos Operasyonu kod adlı küresel bir yasa uygulama operasyonuyla kapatılmasının ardından ele geçirildi.
Bu ortak operasyonun bir parçası olarak, Japonya Ulusal Polis Teşkilatı, LockBit’in ele geçirilen sunucularından alınan ve ‘No More Ransom’ portalında yayınlanan 1.000’den fazla şifre çözme anahtarını kullanarak ücretsiz bir LockBit 3.0 Black Ransomware şifre çözücü geliştirdi.
Cronos Operasyonu sırasında, Polonya ve Ukrayna’da çok sayıda LockBit üyesi tutuklanırken, Fransız ve ABD yetkilileri diğer LockBit tehdit aktörlerini hedef alan üç uluslararası tutuklama emri ve beş iddianame yayınladı. ABD Adalet Bakanlığı bu iddianamelerden ikisini Rus şüpheliler Artur Sungatov ve Ivan Gennadievich Kondratiev’e (diğer adıyla Bassterlord) karşı getirdi.
Kolluk kuvvetleri ayrıca grubun ele geçirilen karanlık web sızıntı sitesi hakkında ek bilgiler yayınladı ve LockBit’in Eylül 2019’da ortaya çıkışından bu yana en az 188 bağlı kuruluşa sahip olduğunu ortaya çıkardı.
LockBit, son dört yılda aralarında Boeing, Continental otomotiv devi, Birleşik Krallık Kraliyet Postası ve İtalyan Gelir İdaresi’nin de bulunduğu birçok büyük ölçekli ve devlet kuruluşuna yönelik saldırıları üstlendi.
ABD Dışişleri Bakanlığı artık LockBit fidye yazılımı çetesi üyeleri ve onların ortakları hakkında bilgi sağlayanlara 15 milyon dolara kadar ödüller sunuyor.
BleepingComputer’ın bugün bildirdiği gibi, LockBit geliştiricileri gizlice LockBit-NG-Dev (büyük olasılıkla LockBit 4.0 olacaktı) adı verilen yeni bir kötü amaçlı yazılım sürümü üzerinde çalışıyorlardı.