GÜNCELLEME 23 Şubat 07:02 EST: Sophos bugün, tespit ettikleri fidye yazılımı yüklerinin, Eylül 2022'nin sonlarında hoşnutsuz bir kötü amaçlı yazılım geliştiricisi tarafından çevrimiçi sızdırılan Lockbit Ransomware Builder kullanılarak inşa edildiğini belirten bir rapor yayınladı.
Bu haftanın saldırılarında Sophos tarafından görülen numuneler, 30 farklı müşteri ağına ve sızdırılmış Lockbit Builder (ve farklı bir tehdit aktörü tarafından bırakılan) kullanılarak oluşturulan ikinci bir yüke düşmüş bir Buhtiransom Lockbit varyantıydı.
"22 Şubat 2024'te Sophos X-Ops, sosyal medya işleyişimiz aracılığıyla, Lockbit Tehdit Oyuncusu Grubuna karşı son kolluk faaliyetine rağmen, Lockbit Fidye Yazılımları ile gerçekleştirilen önceki 24 saat boyunca birkaç saldırı gözlemlediğimizi bildirdi. Sızdırılmış bir kötü amaçlı yazılım oluşturucu aracı kullanılarak inşa edildi, "diye açıkladı Sophos.
"Görünüşe göre imza tabanlı algılamamız, yükleri sızdırılan kilitbit üreticisi tarafından üretilen fidye yazılımı olarak doğru bir şekilde tanımladığı anlaşılıyor, ancak bu yükler tarafından bırakılan fidye notları“ Buhtiransom ”olarak tanımlandı ve diğerinin fidye notunda bir adı yoktu. "
Başlık buna göre revize edildi. Aşağıdaki orijinal hikaye.
Saldırganlar, takılmamış screAnconnect sunucularını ihlal etmek ve Lockbit Fidye yazılımı yüklerini tehlikeye atılan ağlara dağıtmak için maksimum şiddet kimlik doğrulama bypass güvenlik açığını kullanıyor.
ConnectWise yayınlanan güvenlik güncellemelerinden ve birkaç siber güvenlik şirketi, kavram kanıtı yayınladıktan bir gün sonra, Salı gününden bu yana Salı gününden bu yana aktif sömürü altında olan maksimum ciddiyet CVE-2024-1709 Auth Bypass kusurları altında.
ConnectWise ayrıca CVE-2024-1708 yüksek şiddetli yol geçiş güvenlik açığını yamaladı, bu da sadece yüksek ayrıcalıklara sahip tehdit aktörleri tarafından istismar edilebildi.
Her iki güvenlik hatası da tüm screenconnect sürümlerini etkiler ve Çarşamba günü şirketin tüm lisans kısıtlamalarını kaldırmasını istemektedir, böylece süresi dolmuş lisanslara sahip müşteriler en son yazılım sürümüne yükseltebilir ve sunucularını saldırılardan koruyabilir.
CISA, bugün bilinen sömürülen güvenlik açıkları kataloğuna CVE-2024-1709 ekledi ve ABD federal ajanslarına 29 Şubat'a kadar bir hafta içinde sunucularını güvence altına almasını emretti.
Güvenlik tehdidi izleme platformuna göre, CVE-2024-1709, şu anda savunmasız sunucuları hedefleyen 643 IP ile birlikte vahşi doğada yaygın olarak kullanılıyor.
Shodan şu anda 8.659'dan fazla ScreAnconnect sunucusunu izliyor ve yalnızca 980'i Screenconnect 23.9.8 yamalı sürümünü çalıştırıyor.
Bugün, Sophos X-Ops, tehdit aktörlerinin, bu iki screencnect güvenlik açıklarını hedefleyen istismarları kullanarak erişim kazandıktan sonra kurbanların sistemlerine kilitbit fidye yazılımı dağıttığını ortaya koydu.
Sophos'un tehdit müdahalesi görev gücü, "Son 24 saat içinde, görünüşe göre son ConnectWise ScreAnconnect güvenlik açıklarının (CVE-2024-1708 / CVE-2024-1709) kullanılmasından sonra birkaç lockbit saldırısı gözlemledik." Dedi.
"Burada iki ilgi çekici şey: Birincisi, başkaları tarafından belirtildiği gibi, screenconnect güvenlik açıkları vahşi doğada aktif olarak sömürülüyor. İkincisi, Lockbit'e karşı kolluk operasyonuna rağmen, bazı bağlı kuruluşlar hala çalışıyor gibi görünüyor."
Siber güvenlik şirketi Huntress bulgularını doğruladı ve BleepingComputer'a "muhtemelen 911 sistemlerine bağlı sistemler dahil" ve "sağlık kliniği" nin de ağlarını ihlal etmek için CVE-2024-1709 istismarlarını kullanan Lockbit Ransomware saldırganları tarafından vurulduğunu söyledi. .
Huntress bir e -postayla, "Dağıtılan kötü amaçlı yazılımların Lockbit ile ilişkili olduğunu doğrulayabiliriz." Dedi.
Diyerek şöyle devam etti: "Bunu doğrudan daha büyük Lockbit grubuna bağlayamayız, ancak Lockbit'in, kolluk kuvvetleri tarafından büyük yayılma ile bile tamamen silinmemiş olan araçları, çeşitli bağlı kuruluş gruplarını ve salıcıların geniş bir erişimi olduğu açıktır."
Lockbit Ransomware'in altyapısı, bu hafta, karanlık web sızıntı siteleri Pazartesi günü İngiltere Ulusal Suç Ajansı (NCA) tarafından yönetilen Cronos Operasyonu'nda küresel bir kolluk operasyonunda kaldırıldıktan sonra ele geçirildi.
Bu ortak operasyonun bir parçası olarak, Japonya Ulusal Polis Ajansı, Lockbit'in ele geçirilen sunucularından alınan ve 'Fazladan Fidye Yok' portalında piyasaya sürülen 1000'den fazla şifre çözme anahtarını kullanarak ücretsiz bir Lockbit 3.0 Siyah Ransomware şifremi geliştirdi.
Cronos Operasyonu sırasında, Polonya ve Ukrayna'da birkaç Lockbit iştiraki tutuklanırken, Fransız ve ABD yetkilileri üç uluslararası tutuklama emri ve diğer Lockbit tehdit aktörlerini hedefleyen beş iddianame yayınladı. ABD Adalet Bakanlığı, Rus şüphelileri Artur Sungatov ve Ivan Gennadievich Kondratiev'e (Bassterlord) karşı bu iddianamelerden ikisini getirdi.
Kolluk kuvvetleri ayrıca grubun ele geçirilen karanlık web sızıntı sitesi hakkında ek bilgi yayınladı ve Lockbit'in Eylül 2019'da ortaya çıkmasından bu yana en az 188 bağlı kuruluşu olduğunu ortaya koydu.
Lockbit, Boeing, Continental otomotiv devi, İngiltere Kraliyet Postası ve İtalyan İç Gelir Servisi de dahil olmak üzere son dört yılda dünya çapında birçok büyük ölçekli ve hükümet kuruluşuna saldırı talep etti.
ABD Dışişleri Bakanlığı şimdi Lockbit Fidye yazılımı çete üyeleri ve ortakları hakkında bilgi sağlamak için 15 milyon dolara kadar ödüller sunuyor.
BleepingComputer'ın bugün bildirdiği gibi, Lockbit geliştiricileri gizlice Lockbit-NG-DEV olarak adlandırılan yeni bir kötü amaçlı yazılım sürümü üzerinde çalışıyorlardı (muhtemelen Lockbit 4.0 olurdu).
Lockbit Fidye Yazılımı Çetesi'nin 110 milyon doların üzerinde süresiz bitcoin var
Polis Tutuklandı Lockbit Fidye Yazılımı Üyeleri, Küresel Baskıda Yayın Delerptoru
ABD, Lockbit Fidye Yazılımı Çetesi hakkında bilgi için 15 milyon dolarlık ödül sunuyor
Lockbit fidye yazılımı Gizli olarak yeni nesil şifreleyiciyi yayından kaldırmadan önce inşa etmek
Küresel Polis Operasyonu ile Lockbit Fidye Yazılımı
Kaynak: Bleeping Computer