Saldırganlar, yama uygulanmamış ScreenConnect sunucularını ihlal etmek ve güvenliği ihlal edilmiş ağlara LockBit fidye yazılımı yüklerini dağıtmak için maksimum önem düzeyindeki kimlik doğrulama atlama güvenlik açığından yararlanıyor.
Maksimum önem derecesine sahip CVE-2024-1709 kimlik doğrulama bypass kusuru, ConnectWise’ın güvenlik güncellemelerini yayınlamasından ve birkaç siber güvenlik şirketinin kavram kanıtı istismarları yayınlamasından bir gün sonra, Salı gününden bu yana aktif olarak istismar ediliyor.
ConnectWise ayrıca yalnızca yüksek ayrıcalıklara sahip tehdit aktörleri tarafından kötüye kullanılabilen CVE-2024-1708 yüksek önem dereceli yol geçiş güvenlik açığını da yamaladı.
Her iki güvenlik hatası da tüm ScreenConnect sürümlerini etkileyerek, süresi dolmuş lisanslara sahip müşterilerin en son yazılım sürümüne yükseltme yapabilmesi ve sunucularını saldırılara karşı koruyabilmesi için Çarşamba günü şirketten tüm lisans kısıtlamalarını kaldırmasını istedi.
CISA ayrıca bugün Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna CVE-2024-1709’u da ekleyerek ABD federal kurumlarının 29 Şubat’a kadar bir hafta içinde sunucularını güvence altına almalarını emretti.
Shodan şu anda 8.659’dan fazla ScreenConnect sunucusunu izliyor ve yalnızca 980’i ScreenConnect 23.9.8 yamalı sürümünü çalıştırıyor.
LockBit fidye yazılımı saldırılarında istismar edildi
Bugün Sophos X-Ops, tehdit aktörlerinin bu iki ScreenConnect güvenlik açığını hedef alan açıklardan yararlanarak erişim sağladıktan sonra kurbanların sistemlerine LockBit fidye yazılımı dağıttığını ortaya çıkardı.
Sophos’un tehdit müdahale görev gücü, “Son 24 saat içinde, ConnectWise ScreenConnect’teki son güvenlik açıklarının (CVE-2024-1708 / CVE-2024-1709) kullanılmasından sonra olduğu anlaşılan birkaç LockBit saldırısı gözlemledik” dedi.
“Burada ilgi çekici olan iki şey var: birincisi, başkaları tarafından da belirtildiği gibi, ScreenConnect’teki güvenlik açıkları vahşi doğada aktif olarak istismar ediliyor. İkincisi, LockBit’e karşı kolluk kuvvetlerinin yürüttüğü operasyona rağmen, bazı bağlı kuruluşların hala çalışır durumda olduğu görülüyor.”
Siber güvenlik şirketi Huntress bulgularını doğruladı ve BleepingComputer’a “911 Sistemlerine bağlı sistemler de dahil olmak üzere yerel bir hükümetin” ve bir “sağlık kliniğinin” de ağlarını ihlal etmek için CVE-2024-1709 açıklarını kullanan LockBit fidye yazılımı saldırganları tarafından vurulduğunu söyledi. .
Huntress bir e-postada, “Konumlandırılan kötü amaçlı yazılımın Lockbit ile ilişkili olduğunu doğrulayabiliriz” dedi.
“Bunu doğrudan daha büyük LockBit grubuna atfedemeyiz, ancak lockbit’in araçları, çeşitli bağlı kuruluş gruplarını ve kolluk kuvvetleri tarafından büyük bir yayından kaldırılmasına rağmen tamamen silinmemiş yan dalları kapsayan geniş bir erişime sahip olduğu açıktır.”
LockBit Cronos Operasyonunda parçalandı
LockBit fidye yazılımının altyapısı, bu hafta karanlık web sızıntı sitelerinin Pazartesi günü Birleşik Krallık Ulusal Suç Ajansı (NCA) liderliğindeki Cronos Operasyonu kod adlı küresel bir yasa uygulama operasyonuyla kapatılmasının ardından ele geçirildi.
Bu ortak operasyonun bir parçası olarak, Japonya Ulusal Polis Teşkilatı, LockBit’in ele geçirilen sunucularından alınan ve ‘No More Ransom’ portalında yayınlanan 1.000’den fazla şifre çözme anahtarını kullanarak ücretsiz bir LockBit 3.0 Black Ransomware şifre çözücü geliştirdi.
Cronos Operasyonu sırasında, Polonya ve Ukrayna’da çok sayıda LockBit üyesi tutuklanırken, Fransız ve ABD yetkilileri diğer LockBit tehdit aktörlerini hedef alan üç uluslararası tutuklama emri ve beş iddianame yayınladı. ABD Adalet Bakanlığı bu iddianamelerden ikisini Rus şüpheliler Artur Sungatov ve Ivan Gennadievich Kondratiev’e (diğer adıyla Bassterlord) karşı getirdi.
Kolluk kuvvetleri ayrıca grubun ele geçirilen karanlık web sızıntı sitesi hakkında ek bilgiler yayınladı ve LockBit’in Eylül 2019’da ortaya çıkışından bu yana en az 188 bağlı kuruluşa sahip olduğunu ortaya çıkardı.
LockBit, son dört yılda aralarında Boeing, Continental otomotiv devi, Birleşik Krallık Kraliyet Postası ve İtalyan Gelir İdaresi’nin de bulunduğu birçok büyük ölçekli ve devlet kuruluşuna yönelik saldırıları üstlendi.
ABD Dışişleri Bakanlığı artık LockBit fidye yazılımı çetesi üyeleri ve onların ortakları hakkında bilgi sağlayanlara 15 milyon dolara kadar ödüller sunuyor.