Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Fidye Yazılımları, Bilgi Hırsızları, Arka Kapılar ve Cryptojacking
Sayın Mihir (MihirBagwe) •
23 Şubat 2024
Bilgisayar korsanları, sistemlere fidye yazılımı, bilgi hırsızları ve kalıcı arka kapılar bulaştırmak için yamalı ConnectWise ScreenConnect uzaktan bağlantı yazılımından yararlanmaya hazır.
Ayrıca bakınız: OnDemand I Siber Suçlular Tatilleri İzin Vermiyor
Araştırmacılar tarafından gözlemlenen saldırılar arasında, artık kullanılmayan LockBit fidye yazılımı operasyonuyla bağlantılı olan ve görünüşe göre sızdırılmış bir kötü amaçlı yazılım oluşturma aracıyla oluşturulmuş fidye yazılımı dağıtımları da yer alıyor. Siber güvenlik firması Huntress Cuma günü yaptığı açıklamada, “önemli sayıda” bilgisayar korsanının, kripto para madencilerini dağıtmak için ScreenConnect erişimini kullandığını söyledi.
Pazartesi günü ConnectWise, şirket içi ekipmanı olan müşterilere, ScreenConnect sunucularını ve ScreenConnect istemcilerini etkileyen iki yüksek riskli güvenlik açığını düzeltmeleri konusunda çağrıda bulundu; güvenlik araştırmacılarının, CVE-2024-1709 olarak izlenen bir kimlik doğrulama bypass kusuru için bir kavram kanıtı yayınlamasının ardından aciliyet kazanan bir ricaydı. . Kusurun CVSS puanı 10’dur; bu, mümkün olan en yüksek değerdir ve bu da onu “kritik” yapar. CVE-2024-1708 olarak takip edilen diğer kusur, yüksek önem derecesine sahip bir yol geçiş güvenlik açığıdır ancak bu güvenlik açığından yararlanılması, saldırganın halihazırda yönetici ayrıcalıklarına sahip olmasını gerektirir (bkz.: POC Halka Açık Olduğundan ScreenConnect Sunucuları Yüksek Risk Altında).
Kötü amaçlı etkinlikleri izleyen Shadowserver Vakfı, Çarşamba günü itibarıyla 8.200’den fazla savunmasız ScreenConnect örneği bulduğunu söyledi. Saldırıların 643 internet protokol adresinden kaynaklandığı belirtildi.
Huntress bu haftanın başlarında, kimlik doğrulama bypass hatasından yararlanmanın “önemsiz ve utanç verici derecede kolay” olduğunu söyledi. Bitdefender, saldırganın “herhangi bir ayrıcalık gerektirmediğini” yazdı.
Huntress’in üst düzey yöneticilerinden Max Rogers, kurbanlar arasında ABD yerel yönetiminin 911 servisinin (Amerikan acil yardım telefon numarası), sağlık klinikleri ve veterinerlerin de bulunduğunu söyledi. Information Security Media Group’a verdiği demeçte, “Tehdit aktörü yerel yönetimin ağına erişim sağladığında, 911’in yanı sıra daha geniş acil durum hizmetleri de dahil olmak üzere çeşitli hükümet faaliyetleriyle ilişkili çeşitli sistemlere de erişebildi.”
Hata, tüm ScreenConnect sürümlerini etkiliyor ve bu durum şirketin çarşamba günü lisans kısıtlamalarını kaldırmasına ve lisans süresi dolmuş müşterilerin en son yazılım sürümüne yükseltme yapmasına izin vermesine neden oldu.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü kusuru Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekledi ve kusurun “fidye yazılımı kampanyalarında kullanıldığı biliniyor” dedi. CISA, tüm federal kurumlara ScreenConnect sunucularının güvenliğini 29 Şubat’a kadar sağlamaları talimatını verdi.
Siber güvenlik firması Sophos, Cuma günkü bir blog yazısında, son 48 saat içinde LockBit fidye yazılımı yükünü dağıtan çok sayıda saldırı gözlemlediğini söyledi.
Fidye yazılımını dağıtan saldırganlar dosya adını kullandı enc.exe
veya upd.exe
. Fidye notunda varyantın LockBit yerine “buhtiRansom” olduğu belirtildi.
Sophos, bu istismar kampanyasında çeşitli uzaktan erişim Truva atlarının, bilgi çalanların, şifre çalanların ve diğer fidye yazılımı türlerinin kullanıldığını tespit etti. Şirket, “Tüm bunlar, birçok farklı saldırganın ScreenConnect’i hedef aldığını gösteriyor” dedi.
Rogers, ISMG’ye LockBit dağıtımının 13 Eylül 2022 civarında, yani bir LockBit geliştiricisinin hizmet olarak fidye yazılımı grubunun kaynak kodunu sızdırdığı tarih civarında derlenmiş gibi göründüğünü söyledi. Görünüşe göre geliştirici, şifreleyici kötü amaçlı yazılımlarındaki kusurlar için operasyonun teklif ettiği 50.000 dolarlık hata ödülünü kendi cebinden ödemek zorunda bırakıldığı için üzgündü. Rogers, “Bunun ‘LockBit’ olduğuna ikna olmadım ama açıkçası etkilenen kuruluşlar, atıf veya bunu kimin yaptığından çok etki ve şifrelemeyi önemsiyor” dedi.