Güvenlik uzmanları, yetkililerin Rusya bağlantılı kötü şöhretli siber suç çetesini çökerttiklerini duyurmasından birkaç gün sonra, popüler bir uzaktan erişim aracındaki bir çift yüksek riskli kusurun, bilgisayar korsanları tarafından LockBit fidye yazılımını dağıtmak için kullanıldığı konusunda uyarıyor.
Huntress ve Sophos siber güvenlik şirketlerindeki araştırmacılar Perşembe günü TechCrunch’a, her ikisinin de BT teknisyenleri tarafından müşteri sistemlerine uzaktan teknik destek sağlamak için kullanılan yaygın olarak kullanılan bir uzaktan erişim aracı olan ConnectWise ScreenConnect’i etkileyen bir dizi güvenlik açığından yararlanılmasının ardından LockBit saldırılarını gözlemlediklerini söyledi.
Kusurlar iki hatadan oluşur. CVE-2024-1709, ConnectWise’ın güvenlik güncellemelerini yayınlamasından ve kuruluşları yama yapmaya teşvik etmesinden kısa bir süre sonra, Salı gününden bu yana aktif olarak istismar edilen ve istismar edilmesi “utanç verici derecede kolay” kabul edilen bir kimlik doğrulama atlama güvenlik açığıdır. Diğer hata, CVE-2024-1708, etkilenen sisteme uzaktan kötü amaçlı kod yerleştirmek için diğer hatayla birlikte kullanılabilen bir yol geçiş güvenlik açığıdır.
İçinde Mastodon’da bir yazı Perşembe günü Sophos, ConnectWise güvenlik açıklarından yararlanılmasının ardından “birkaç LockBit saldırısı” gözlemlediğini söyledi.
“Burada ilgi çekici olan iki şey var: Birincisi, başkalarının da belirttiği gibi, ScreenConnect’teki güvenlik açıkları vahşi ortamda aktif olarak kullanılıyor. İkincisi, LockBit’e yönelik kolluk kuvvetleri operasyonuna rağmen, sanki bazı bağlı kuruluşlar hala çalışır durumda gibi görünüyor,” diyen Sophos, bu hafta başında LockBit’in altyapısını çökerttiğini iddia eden kolluk kuvvetleri operasyonuna atıfta bulundu.
Sophos X-Ops tehdit araştırması direktörü Christopher Budd, TechCrunch’a e-posta yoluyla şirketin gözlemlerinin “ScreenConnect’in gözlemlenen yürütme zincirinin başlangıcı olduğunu ve kullanılan ScreenConnect sürümünün savunmasız olduğunu” gösterdiğini söyledi.
Huntress’in tehdit operasyonlarından sorumlu kıdemli yöneticisi Max Rogers, TechCrunch’a siber güvenlik şirketinin ScreenConnect güvenlik açığından yararlanan saldırılarda LockBit fidye yazılımının kullanıldığını da gözlemlediğini söyledi.
Rogers, Huntress’in LockBit fidye yazılımının çeşitli sektörlere yayılan müşteri sistemlerine dağıtıldığını gördüğünü ancak etkilenen müşterilerin isimlerini vermeyi reddettiğini söyledi.
LockBit fidye yazılımının altyapısı, İngiltere Ulusal Suç Ajansı’nın liderliğindeki kapsamlı bir uluslararası kolluk kuvvetleri operasyonunun bir parçası olarak bu hafta başında ele geçirildi. Operasyon, çetenin kurbanlardan çalınan verileri yayınlamak için kullandığı karanlık web sızıntı sitesi de dahil olmak üzere LockBit’in halka açık web sitelerini çökertti. Sızıntı sitesi artık İngiltere liderliğindeki operasyon tarafından ortaya çıkarılan ve LockBit’in yeteneklerini ve operasyonlarını açığa çıkaran bilgileri barındırıyor.
“Cronos Operasyonu” olarak bilinen eylemde aynı zamanda Avrupa, İngiltere ve ABD’de 34 sunucunun kapatılması, 200’den fazla kripto para birimi cüzdanının ele geçirilmesi ve Polonya ve Ukrayna’da LockBit üyesi olduğu iddia edilen iki kişinin tutuklanması da görüldü.
“Atıf yapamayız [the ransomware attacks abusing the ConnectWise flaws] Rogers, TechCrunch’a e-posta yoluyla şunları söyledi: “Doğrudan daha büyük LockBit grubuna, ancak LockBit’in takımları, çeşitli bağlı kuruluş gruplarını ve kolluk kuvvetleri tarafından büyük ölçüde ortadan kaldırılmasına rağmen tamamen silinmemiş yan dalları kapsayan geniş bir erişime sahip olduğu açıktır.”
Fidye yazılımı dağıtımının ConnectWise’ın dahili olarak gözlemlediği bir şey olup olmadığı sorulduğunda ConnectWise baş bilgi güvenliği sorumlusu Patrick Beggs, TechCrunch’a “bu, bugün itibariyle gördüğümüz bir şey değil” dedi.
Kaç ConnectWise ScreenConnect kullanıcısının bu güvenlik açığından etkilendiği bilinmiyor ve ConnectWise sayı vermeyi reddetti. Şirketin web sitesi, kuruluşun uzaktan erişim teknolojisini bir milyondan fazla küçük ve orta ölçekli işletmeye sağladığını iddia ediyor.
Kötü niyetli internet faaliyetlerine ilişkin verileri toplayan ve analiz eden kar amacı gütmeyen bir kuruluş olan Shadowserver Foundation’a göre ScreenConnect kusurları “geniş çapta istismar ediliyor.” Kâr amacı gütmeyen kuruluş Perşembe günü şunları söyledi: X’teki bir gönderideEski adıyla Twitter, şu ana kadar 643 IP adresinin güvenlik açıklarından yararlandığını gözlemlediğini ve 8.200’den fazla sunucunun savunmasız kaldığını ekledi.
