Nova falha RCE do ScreenConnect explorada em ataques de ransomware
26 de Fevereiro de 2024

A Sophos publicou um relatório hoje afirmando que as payloads de ransomware que eles detectaram foram construídas usando o construtor de ransomware LockBit, vazado online por um desenvolvedor de malware descontente em setembro de 2022.

As amostras vistas pela Sophos nos ataques desta semana eram uma variante do buhtiRansom LockBit depositada em 30 redes de clientes diferentes e uma segunda payload criada usando o construtor Lockbit vazado (e depositado por um ator de ameaça diferente).

"No dia 22 de fevereiro de 2024, a Sophos X-Ops informou através de nossas redes sociais que, apesar da recente atividade policial contra o grupo de atores de ameaça LockBit, observamos vários ataques nas últimas 24 horas que pareciam ser realizados com ransomware LockBit, construídos usando uma ferramenta construtora de malware vazada", explicou a Sophos.

"Parece que nossa detecção baseada em assinatura identificou corretamente as payloads como ransomware gerado pelo construtor LockBit vazado, mas as notas de resgate deixadas por essas payloads identificaram uma como 'buhtiRansom' e a outra não tinha um nome em sua nota de resgate."

Os invasores estão explorando uma vulnerabilidade de autenticação máxima severidade para invadir servidores ScreenConnect não corrigidos e implantar cargas de ransomware LockBit em redes comprometidas.

A falha de autenticação gravíssima CVE-2024-1709 tem sido explorada ativamente desde terça-feira, um dia após a ConnectWise lançar atualizações de segurança e várias empresas de cibersegurança publicarem provas de conceito de exploits.

A ConnectWise também corrigiu a vulnerabilidade de travessia de caminho de alta severidade CVE-2024-1708, que só pode ser abusada por atores de ameaças com altos privilégios.

Ambos os bugs de segurança impactam todas as versões do ScreenConnect, levando a empresa na quarta-feira a remover todas as restrições de licença para que os clientes com licenças expiradas possam atualizar para a versão mais recente do software e proteger seus servidores de ataques.

A CISA adicionou o CVE-2024-1709 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas hoje, ordenando que as agências federais dos EUA protejam seus servidores dentro de uma semana, até 29 de fevereiro.

O CVE-2024-1709 está sendo amplamente explorado no ambiente virtual, de acordo com a plataforma de monitoramento de ameaças de segurança Shadowserver, com 643 IPs atualmente visando servidores vulneráveis.

O Shodan atualmente rastreia mais de 8.659 servidores ScreenConnect, com apenas 980 executando a versão corrigida ScreenConnect 23.9.8.

​Hoje, a Sophos X-Ops revelou que atores de ameaça têm implantado ransomware LockBit nos sistemas das vítimas após obter acesso usando exploits direcionados a estas duas vulnerabilidades do ScreenConnect.

"Nas últimas 24 horas, observamos vários ataques LockBit, aparentemente após a exploração das recentes vulnerabilidades do ConnectWise ScreenConnect (CVE-2024-1708 / CVE-2024-1709)", disse o grupo de resposta a ameaças da Sophos.

"Duas coisas de interesse aqui: primeiro, como observado por outros, as vulnerabilidades do ScreenConnect estão sendo exploradas ativamente na wild.

Em segundo lugar, apesar da operação policial contra a LockBit, parece que alguns afiliados ainda estão ativos."

A empresa de cibersegurança Huntress confirmou seus achados e informou ao BleepingComputer que "um governo local, incluindo sistemas provavelmente vinculados aos seus sistemas 911" e uma "clínica de saúde" também foram atingidos por atacantes de ransomware LockBit que usaram exploits CVE-2024-1709 para violar suas redes.

"Podemos confirmar que o malware implantado está associado à Lockbit", disse Huntress por e-mail.

"Não podemos atribuir isso diretamente ao grupo LockBit maior, mas fica claro que a lockbit tem um grande alcance que abrange ferramentas, vários grupos afiliados e ramificações que não foram completamente apagados mesmo com a grande derrubada pela polícia."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...