Các nhóm ransomware Black Basta, Bl00dy đang khai thác lỗ hổng ConnectWise


Nhiều nhóm ransomware khác, bao gồm cả hoạt động khét tiếng Black Basta, hiện đã bị phát hiện đang khai thác một cặp lỗ hổng nghiêm trọng trong nền tảng phần mềm ConnectWise ScreenConnect, được tiết lộ vào thứ Hai ngày 19 tháng 2 năm 2024.

CVE-2024-1708 và CVE-2024-1709 là các lỗ hổng truyền tải đường dẫn và bỏ qua xác thực, mang điểm CVSS lần lượt là 8,4 và 10. ConnectWise đã cung cấp các bản vá và bạn có thể tìm thấy thông tin chi tiết về các bản vá đó, các chỉ báo về sự xâm phạm (IoC) và các phiên bản dễ bị tấn công tại đây. Chúng được mô tả là dễ khai thác và cực kỳ nguy hiểm.

Đến thứ Sáu ngày 23 tháng 2, người ta phát hiện ra rằng một kẻ đe dọa sử dụng bản dựng LockBit bị rò rỉ – có thể không phải LockBit do những rắc rối gần đây của băng nhóm đó – đã bắt đầu khai thác các lỗ hổng ConnectWise ScreenConnect trong các cuộc tấn công ransomware.

Đầu ngày hôm nay (Thứ Ba, ngày 27 tháng 2), các nhà nghiên cứu Ian Kenefick, Junestherry Dela Cruz và Peter Girnus của Trend Micro đã công bố thông tin tình báo mới tiết lộ phát hiện của họ về các nhóm ransomware Black Basta và Bl00dy sử dụng lỗ hổng ConnectWise ScreenConnect để nhắm mục tiêu vào các tổ chức cho đến nay vẫn chưa vá được.

Nhóm nghiên cứu viết trong thông báo tiết lộ của họ: “Kết quả đo từ xa của chúng tôi đã phát hiện ra rằng các nhóm tác nhân đe dọa khác nhau đang khai thác các lỗ hổng trong ConnectWise ScreenConnect, với các chiến thuật khác nhau, từ triển khai ransomware đến các cuộc tấn công đánh cắp thông tin và lấy cắp dữ liệu”.

“Những hoạt động này, bắt nguồn từ các nhóm xâm nhập khác nhau, nêu bật tính cấp bách của việc bảo vệ hệ thống trước những lỗ hổng này…. Điều này càng nhấn mạnh nhu cầu trước mắt của người dùng ScreenConnect là phải có chiến lược phòng thủ hiệu quả và vá lỗi nhanh chóng.”

Black Basta – gần đây đã tấn công các hệ thống tiện ích Southern Water ở Anh – đã được quan sát thấy đang triển khai đèn hiệu Cobalt Strike trong một số môi trường để thực hiện các hoạt động trinh sát, khám phá tài sản và leo thang đặc quyền trước khi thực hiện giai đoạn cuối của cuộc tấn công.

Một nhóm khác mà Trend Micro không xác định được đã bị theo dõi sau khi được phát hiện đang cố gắng vô hiệu hóa các tính năng giám sát thời gian thực trong Windows Defender bằng PowerShell, sau đó nhóm này cũng triển khai Cobalt Strike.

Sự hiện diện của Bl00dy, năm ngoái đã tấn công nhiều mục tiêu thông qua lỗ hổng zero-day trong nền tảng phần mềm quản lý in, đã được Trend Micro xác định sau khi họ quan sát thấy nhóm triển khai các bản dựng bị rò rỉ của cả tủ khóa Conti và LockBit Black (LockBit 3.0).

Các tác nhân đe dọa cũng bị theo dõi khi khai thác lỗ hổng ConnectWise ScreenConnect bằng cách sử dụng phần mềm độc hại XWorm đa diện, phần mềm độc hại này cung cấp quyền truy cập từ xa, khả năng tự phát tán, đánh cắp dữ liệu và cũng có khả năng tải xuống các tải trọng bổ sung.

“Chúng tôi nhấn mạnh tính cấp thiết của việc cập nhật lên phiên bản phần mềm mới nhất. Việc vá lỗi ngay lập tức không chỉ được khuyến khích; nhóm Trend Micro viết rằng đó là một yêu cầu bảo mật quan trọng để bảo vệ hệ thống của bạn khỏi những mối đe dọa đã được xác định này.

“Nếu bị khai thác, những lỗ hổng này có thể xâm phạm dữ liệu nhạy cảm, làm gián đoạn hoạt động kinh doanh và gây tổn thất tài chính đáng kể. Việc các tác nhân đe dọa đang tích cực sử dụng những điểm yếu này để phát tán ransomware đã tạo thêm tính cấp bách cho các hành động khắc phục ngay lập tức.”

Dễ dàng bị đánh bại

Các nhà nghiên cứu tại Huntress Security, những người đã theo dõi các lỗ hổng ConnectWise ScreenConnect kể từ khi được tiết lộ và là một trong những người đầu tiên nhận ra mức độ nghiêm trọng của hai lỗ hổng, nói rằng những kẻ đe dọa đang khai thác các lỗ hổng này có thể dễ dàng bị ngăn chặn, đơn giản vì chúng chưa ‘ không làm bất cứ điều gì mới như vậy.

“Khai thác ScreenConnect cực kỳ thú vị này đã khiến nhiều người trong chúng tôi tại Huntress say mê trong vài ngày qua, nhưng thật đáng tiếc là đối thủ của chúng tôi đã không cam kết kết hợp khai thác mới này với mới Tradecraft,” nhóm Huntress viết trong bản cập nhật được xuất bản vào ngày 23 tháng 2.

Huntress nói rằng hầu hết các hoạt động hậu thỏa hiệp được quan sát cho đến nay không phải là mới lạ, độc đáo hoặc nổi bật, đơn giản vì hầu hết các tác nhân đe dọa không quá tinh vi và không thực sự biết phải làm gì ngoài thủ tục thủ tục, vì vậy họ tiếp tục cố gắng. và các phương pháp thực sự. Điều này khiến họ dễ dàng bị đánh bại bởi một đội an ninh nửa vời.

Leave a Comment

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Scroll to Top