Хакеры активно используют уязвимость безопасности в коммерчески доступном инструменте удаленного доступа всего через несколько дней после его первого раскрытия. Конкретная уязвимость, которая затрагивает некоторые версии продукта ScreenConnect и ConnectWiseбыл классифицирован с максимальным баллом CVSS в 10что указывает на то, что оно представляет критическую угрозу для организаций, которые не применили обновления.
Компания по кибербезопасности Охотница охарактеризовал ситуацию как «катастрофа«, предупреждая, что хакеры могут легко воспользоваться этой ошибкой, позволяя им удаленно выполнять код в сети жертвы. Уязвимость определена как CVE-2024-1709.
ScreenConnect — это популярный бизнес-инструмент, широко используемый поставщиками управляемых услуг (MSP), который правительство Великобритании определило как «привлекательная и ценная цель для злоумышленников«, поскольку MSP «может использоваться в качестве отправной точки для компрометации клиентов таких управляемых услуг».
Атаки с использованием программ-вымогателей с целью получения прибыли затронули таких MSP, как Kaseya в США и поставщика Национальной службы здравоохранения (NHS) Advanced в Великобритании, причем последний, по данным BBC, оказал серьезное влияние на уход за пациентами.
Компания по кибербезопасности Софос сообщил в социальных сетях, что за последние 24 часа обнаружил несколько атак программ-вымогателей, использующих эту уязвимость. Софос заявил, что «в настоящее время продолжаются атаки на серверы и клиентские компьютеры» и предупредил, что применение обновления после компрометации «он не удалит никакие вредоносные программы или веб-оболочки, которые злоумышленникам удалось установить перед обновлением.» в том, что «любые скомпрометированные среды должны быть исследованы«.
Первоначально компания Sophos заявила, что это LockBit-атаки, хотя недавно правоохранительные органы закрыли платформу LockBit, предоставляющую программы-вымогатели как услугу. Однако позже Софос пояснил, что «Похоже, что наша система обнаружения на основе сигнатур правильно определила полезные нагрузки как программы-вымогатели, созданные сборщиком LockBit, но в примечаниях к программам-вымогателям, сброшенных этими полезными нагрузками, одна из них идентифицируется как «buhtiRansom», а другая не имеет имени в записке о выкупе.«.
Набор инструментов для вымогательства LockBit был взломан в сентябре 2022 года недовольным партнером, что привело к серии атак с использованием поддельных версий программного обеспечения для шифрования. Распространение такого контрафактного программного обеспечения снижает барьер входа для преступников, действующих в сфере программного обеспечения. программа-вымогатель как услугапричем предыдущие нарушения привели к увеличению числа подражателей со стороны групп Conti и REvil.
Второй Кристофер Бадд, директор Sophos X-Ops Threat Research«За последние 48 часов мы столкнулись с несколькими атаками с использованием ScreenConnect. Наиболее значимым было вредоносное ПО, созданное с использованием инструмента-вымогателя LockBit 3, утечка которого произошла в 2022 году.«. Бадд также заявил, что «возможно, это исходило не от разработчиков LockBit«.
Бадд предупредил, что «мы также видим RAT (трояны удаленного доступа), похитители информации, похитители паролей и другие программы-вымогатели. Все это показывает, что несколько злоумышленников нацелены на ScreenConnect. Любой, кто использует ScreenConnect, должен принять меры для немедленной изоляции уязвимых серверов и клиентов, установить обновления и проверить наличие признаков компрометации.«.
В заключение, крайне важно, чтобы организации использовали ЭкранКоннект применять необходимые обновления безопасности для защиты своей сети от атак программ-вымогателей. Угроза, исходящая от этой уязвимости, была классифицирована как «катастрофический» и последствия нападения могут быть серьезными. Сотрудничество между компаниями MSP и правоохранительными органами имеет важное значение для выявления и привлечения к ответственности виновных в этих атаках.
