Les attaquants exploitent une vulnérabilité de contournement d’authentification de gravité maximale pour violer des serveurs ScreenConnect non corrigés et déployer des charges utiles de ransomware LockBit sur des réseaux compromis.
La faille de contournement d’authentification de gravité maximale CVE-2024-1709 est exploitée activement depuis mardi, un jour après que ConnectWise a publié des mises à jour de sécurité et que plusieurs sociétés de cybersécurité ont publié des exploits de validation de principe.
ConnectWise a également corrigé la vulnérabilité de traversée de chemin de gravité élevée CVE-2024-1708, qui ne peut être exploitée que par des acteurs de la menace disposant de privilèges élevés.
Les deux bogues de sécurité ont un impact sur toutes les versions de ScreenConnect, incitant l’entreprise mercredi à supprimer toutes les restrictions de licence afin que les clients dont les licences ont expiré puissent passer à la dernière version du logiciel et sécuriser leurs serveurs contre les attaques.
CISA a également ajouté CVE-2024-1709 à son Catalogue de vulnérabilités exploitées connues aujourd’hui, ordonnant aux agences fédérales américaines de sécuriser leurs serveurs dans un délai d’une semaine d’ici le 29 février.
Shodan suit actuellement plus de 8 659 serveurs ScreenConnect, alors que seulement 980 exécutent la version corrigée ScreenConnect 23.9.8.
Exploité dans les attaques de ransomware LockBit
Aujourd’hui, Sophos X-Ops a révélé que les auteurs de menaces déployaient le ransomware LockBit sur les systèmes des victimes après y avoir accédé à l’aide d’exploits ciblant ces deux vulnérabilités ScreenConnect.
« Au cours des dernières 24 heures, nous avons observé plusieurs attaques LockBit, apparemment après l’exploitation des récentes vulnérabilités ConnectWise ScreenConnect (CVE-2024-1708 / CVE-2024-1709) », a déclaré le groupe de travail de réponse aux menaces de Sophos.
« Deux choses intéressantes ici: premièrement, comme l’ont noté d’autres, les vulnérabilités ScreenConnect sont activement exploitées dans la nature. Deuxièmement, malgré l’opération d’application de la loi contre LockBit, il semble que certains affiliés soient toujours opérationnels. »
La société de cybersécurité Huntress a confirmé ses conclusions et a déclaré à Breachtrace qu ‘ « un gouvernement local, y compris des systèmes probablement liés à leurs systèmes 911 » et une « clinique de santé » ont également été touchés par des attaquants ransomware LockBit qui ont utilisé les exploits CVE-2024-1709 pour violer leurs réseaux.
« Nous pouvons confirmer que le logiciel malveillant déployé est associé à Lockbit », a déclaré Huntress dans un courrier électronique.
« Nous ne pouvons pas attribuer cela directement au plus grand groupe LockBit, mais il est clair que lockbit a une large portée qui couvre l’outillage, divers groupes affiliés et des ramifications qui n’ont pas été complètement effacées même avec le démantèlement majeur par les forces de l’ordre. »
LockBit démantelé lors de l’opération Cronos
L’infrastructure du ransomware LockBit a été saisie cette semaine après que ses sites de fuites sur le Dark Web ont été démantelés lundi lors d’une opération mondiale d’application de la loi baptisée Operation Cronos dirigée par la National Crime Agency (NCA) du Royaume-Uni.
Dans le cadre de cette opération conjointe, l’Agence nationale de police du Japon a développé un décrypteur gratuit de Ransomware LockBit 3.0 Black utilisant plus de 1 000 clés de décryptage récupérées sur les serveurs saisis de LockBit et publiées sur le portail « Plus de rançon ».
Au cours de l’opération Cronos, plusieurs affiliés de LockBit ont été arrêtés en Pologne et en Ukraine, tandis que les autorités françaises et américaines ont émis trois mandats d’arrêt internationaux et cinq actes d’accusation visant d’autres acteurs de la menace LockBit. Le département de la Justice des États-Unis a déposé deux de ces actes d’accusation contre les suspects russes Artur Sungatov et Ivan Gennadievich Kondratiev (alias Bassterlord).
Les forces de l’ordre ont également publié des informations supplémentaires sur le site de fuite du Dark Web saisi par le groupe, révélant que LockBit comptait au moins 188 affiliés depuis son apparition en septembre 2019.
LockBit a revendiqué des attaques contre de nombreuses organisations gouvernementales et à grande échelle dans le monde entier au cours des quatre dernières années, notamment Boeing, le géant Continental de l’automobile, la Royal Mail britannique et l’Internal Revenue Service italien.
Le Département d’État américain offre désormais des récompenses allant jusqu’à 15 millions de dollars pour avoir fourni des informations sur les membres de gangs de ransomwares LockBit et leurs associés.
Comme l’a rapporté Breachtrace aujourd’hui, les développeurs de LockBit travaillaient secrètement sur une nouvelle version de malware baptisée LockBit-NG-Dev (qui serait probablement devenue LockBit 4.0).