Ciberseguridad 360 | Nuevo fallo RCE de ScreenConnect explotado en ataques de ransomware

Sophos ha publicado hoy un informe en el que afirma que las cargas �tiles de ransomware detectadas se crearon utilizando el creador de ransomware LockBit filtrado en Internet por un desarrollador de malware descontento a finales de septiembre de 2022.

Las muestras vistas por Sophos en los ataques de esta semana fueron una variante de buhtiRansom LockBit lanzada en 30 redes de clientes diferentes y una segunda carga �til creada utilizando el constructor de Lockbit filtrado (y lanzado por un actor de amenaza diferente).

"El 22 de febrero de 2024, Sophos X-Ops inform� a trav�s de nuestras redes sociales que, a pesar de la reciente actividad policial contra el grupo LockBit, hab�amos observado varios ataques en las 24 horas anteriores que parec�an haberse llevado a cabo con el ransomware LockBit, creado utilizando una herramienta de creaci�n de malware filtrada", explic� Sophos.

"Parece que nuestra detecci�n basada en firmas identific� correctamente las cargas �tiles como ransomware generado por el constructor de LockBit filtrado, pero las notas de rescate lanzadas por esas cargas �tiles identificaron una como "buhtiRansom", y la otra no ten�a un nombre en su nota de rescate."

Los atacantes est�n aprovechando una vulnerabilidad de m�xima gravedad para eludir la autenticaci�n y vulnerar servidores ScreenConnect no parcheados y desplegar cargas �tiles de ransomware LockBit en redes comprometidas.

El fallo de m�xima gravedad CVE-2024-1709 auth bypass se explota activamente desde el martes, un d�a despu�s de que ConnectWise publicara actualizaciones de seguridad y varias empresas de ciberseguridad publicaran pruebas de concepto.

ConnectWise tambi�n ha parcheado la vulnerabilidad CVE-2024-1708 de alta gravedad, que s�lo puede ser aprovechada por personas con privilegios elevados.

Ambos fallos de seguridad afectan a todas las versiones de ScreenConnect, lo que llev� a la empresa el mi�rcoles a eliminar todas las restricciones de licencia para que los clientes con licencias caducadas puedan actualizar a la �ltima versi�n del software y proteger sus servidores de los ataques.

CISA ha a�adido hoy CVE-2024-1709 a su Cat�logo de Vulnerabilidades Conocidas y Explotadas, ordenando a las agencias federales de EE.UU. que aseguren sus servidores en el plazo de una semana, antes del 29 de febrero.

Seg�n la plataforma de vigilancia de amenazas a la seguridad Shadowserver, la vulnerabilidad CVE-2024-1709 est� siendo ampliamente explotada, con 643 IPs dirigidas actualmente a servidores vulnerables.

Shodan rastrea actualmente m�s de 8.659 servidores ScreenConnect, con s�lo 980 ejecutando la versi�n parcheada ScreenConnect 23.9.8.

Servidores ScreenConnect expuestos a Internet (Shodan)

Explotadas en ataques de ransomware LockBit

Hoy, Sophos X-Ops revel� que los actores de amenazas han estado desplegando ransomware LockBit en los sistemas de las v�ctimas despu�s de obtener acceso utilizando exploits dirigidos a estas dos vulnerabilidades ScreenConnect.

"En las �ltimas 24 horas, hemos observado varios ataques LockBit, aparentemente despu�s de la explotaci�n de las recientes vulnerabilidades ConnectWise ScreenConnect (CVE-2024-1708 / CVE-2024-1709)", dijo el grupo de trabajo de respuesta a amenazas de Sophos.

"Dos cosas de inter�s aqu�: en primer lugar, como se ha se�alado por otros, las vulnerabilidades ScreenConnect est�n siendo explotadas activamente en la naturaleza. En segundo lugar, a pesar de la operaci�n policial contra LockBit, parece que algunos afiliados siguen funcionando."

La compa��a de ciberseguridad Huntress confirm� sus hallazgos y dijo a BleepingComputer que "un gobierno local, incluyendo sistemas probablemente vinculados a sus sistemas 911" y una "cl�nica de salud" tambi�n han sido atacados por atacantes de ransomware LockBit que utilizaron exploits CVE-2024-1709 para violar sus redes.

"Podemos confirmar que el malware que se est� desplegando est� asociado con Lockbit", dijo Huntress en un correo electr�nico.

"No podemos atribuir esto directamente al grupo LockBit m�s grande, pero est� claro que Lockbit tiene un gran alcance que abarca herramientas, varios grupos afiliados y v�stagos que no se han borrado por completo incluso con el gran desmantelamiento por parte de las fuerzas de seguridad."

LockBit desmantelado en la Operaci�n Cronos

La infraestructura del ransomware LockBit fue incautada esta semana despu�s de que sus sitios de filtraci�n en la red oscura fueran desmantelados el lunes en una operaci�n policial mundial cuyo nombre en clave es Operaci�n Cronos, dirigida por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.

Como parte de esta operaci�n conjunta, la Agencia Nacional de Polic�a de Jap�n desarroll� un descifrador gratuito del ransomware LockBit 3.0 Black utilizando m�s de 1.000 claves de descifrado recuperadas de los servidores incautados de LockBit y publicadas en el portal "No More Ransom".

Durante la operaci�n Cronos, se detuvo a varios afiliados de LockBit en Polonia y Ucrania, mientras que las autoridades francesas y estadounidenses emitieron tres �rdenes de detenci�n internacionales y cinco autos de procesamiento contra otros actores de la amenaza LockBit. El Departamento de Justicia de Estados Unidos present� dos de estas acusaciones contra los sospechosos rusos Artur Sungatov e Ivan Gennadievich Kondratiev (alias Bassterlord).

Las fuerzas de seguridad tambi�n publicaron informaci�n adicional en el sitio de filtraciones de la web oscura incautado del grupo, revelando que LockBit ten�a al menos 188 afiliados desde que surgi� en septiembre de 2019.

LockBit ha reivindicado ataques contra muchas organizaciones gubernamentales y de gran escala en todo el mundo en los �ltimos cuatro a�os, incluidos Boeing, el gigante automotriz Continental, el Royal Mail del Reino Unido y el Servicio de Impuestos Internos de Italia.

El Departamento de Estado de EE.UU. ofrece ahora recompensas de hasta 15 millones de d�lares por proporcionar informaci�n sobre los miembros de la banda de ransomware LockBit y sus asociados.

Como ha informado hoy BleepingComputer, los desarrolladores de LockBit estaban trabajando en secreto en una nueva versi�n de malware apodada LockBit-NG-Dev (que probablemente se habr�a convertido en LockBit 4.0).

Fuente: bleepingcomputer