Especialistas em segurança alertam que duas falhas de alto risco em uma popular ferramenta de acesso remoto estão sendo exploradas por hackers para implantar o ransomware LockBit – dias depois que as autoridades anunciaram que haviam desmantelado a notória gangue de crimes cibernéticos ligada à Rússia.
Pesquisadores das empresas de segurança cibernética Huntress e Sophos disseram ao TechCrunch na quinta-feira que ambos observaram ataques LockBit após a exploração de um conjunto de vulnerabilidades que impactam o ConnectWise ScreenConnect, uma ferramenta de acesso remoto amplamente utilizada por técnicos de TI para fornecer suporte técnico remoto em sistemas de clientes.
As falhas consistem em dois bugs. CVE-2024-1709 é uma vulnerabilidade de desvio de autenticação considerada “embaraçosamente fácil” de explorar, que está sob exploração ativa desde terça-feira, logo após o ConnectWise lançar atualizações de segurança e instar as organizações a corrigirem. O outro bug, CVE-2024-1708, é uma vulnerabilidade de passagem de caminho que pode ser usada em conjunto com o outro bug para plantar remotamente código malicioso em um sistema afetado.
Em uma postagem no Mastodonte na quinta-feira, a Sophos disse ter observado “vários ataques LockBit” após a exploração das vulnerabilidades do ConnectWise.
“Duas coisas interessantes aqui: primeiro, como observado por outros, as vulnerabilidades do ScreenConnect estão sendo exploradas ativamente em estado selvagem. Em segundo lugar, apesar da operação policial contra a LockBit, parece que algumas afiliadas ainda estão em funcionamento”, disse Sophos, referindo-se à operação policial no início desta semana que alegou derrubar a infraestrutura da LockBit.
Christopher Budd, diretor de pesquisa de ameaças da Sophos X-Ops, disse ao TechCrunch por e-mail que as observações da empresa mostram que “o ScreenConnect foi o início da cadeia de execução observada e a versão do ScreenConnect em uso era vulnerável”.
Max Rogers, diretor sênior de operações de ameaças da Huntress, disse ao TechCrunch que a empresa de segurança cibernética também observou o ransomware LockBit sendo implantado em ataques que exploram a vulnerabilidade ScreenConnect.
Rogers disse que a Huntress viu o ransomware LockBit implantado em sistemas de clientes de vários setores, mas se recusou a nomear os clientes afetados.
A infraestrutura do ransomware LockBit foi apreendida no início desta semana como parte de uma ampla operação internacional de aplicação da lei liderada pela Agência Nacional do Crime do Reino Unido. A operação derrubou os sites públicos da LockBit, incluindo o site de vazamento da dark web, que a gangue usava para publicar dados roubados das vítimas. O site de vazamento agora hospeda informações descobertas pela operação liderada pelo Reino Unido, expondo as capacidades e operações do LockBit.
A ação, conhecida como “Operação Cronos”, também resultou na derrubada de 34 servidores na Europa, no Reino Unido e nos Estados Unidos, na apreensão de mais de 200 carteiras de criptomoedas e na prisão de dois supostos membros do LockBit na Polônia e na Ucrânia.
“Não podemos atribuir [the ransomware attacks abusing the ConnectWise flaws] diretamente para o grupo maior do LockBit, mas está claro que o LockBit tem um grande alcance que abrange ferramentas, vários grupos afiliados e ramificações que não foram completamente apagadas, mesmo com a grande remoção pelas autoridades”, disse Rogers ao TechCrunch por e-mail.
Quando questionado se a implantação de ransomware era algo que a ConnectWise também estava observando internamente, o diretor de segurança da informação da ConnectWise, Patrick Beggs, disse ao TechCrunch que “isso não é algo que estamos vendo hoje”.
Ainda não se sabe quantos usuários do ConnectWise ScreenConnect foram afetados por esta vulnerabilidade, e o ConnectWise se recusou a fornecer números. O site da empresa afirma que a organização fornece sua tecnologia de acesso remoto para mais de um milhão de pequenas e médias empresas.
De acordo com a Shadowserver Foundation, uma organização sem fins lucrativos que coleta e analisa dados sobre atividades maliciosas na Internet, as falhas do ScreenConnect estão sendo “amplamente exploradas”. A organização sem fins lucrativos disse quinta-feira em uma postagem no Xantigo Twitter, que até agora observou 643 endereços IP explorando as vulnerabilidades – acrescentando que mais de 8.200 servidores permanecem vulneráveis.