Los expertos en seguridad advierten que los piratas informáticos están explotando un par de fallas de alto riesgo en una popular herramienta de acceso remoto para implementar el ransomware LockBit, días después de que las autoridades anunciaran que habían desbaratado a la notoria banda de delitos cibernéticos vinculada a Rusia.
Los investigadores de las empresas de ciberseguridad Huntress y Sophos dijeron a TechCrunch el jueves que ambos habían observado ataques LockBit luego de la explotación de un conjunto de vulnerabilidades que afectan a ConnectWise ScreenConnect, una herramienta de acceso remoto ampliamente utilizada por los técnicos de TI para brindar soporte técnico remoto en los sistemas de los clientes.
Los defectos consisten en dos errores. CVE-2024-1709 es una vulnerabilidad de omisión de autenticación considerada «vergonzosamente fácil» de explotar, que ha estado bajo explotación activa desde el martes, poco después de que ConnectWise publicara actualizaciones de seguridad e instara a las organizaciones a aplicar parches. El otro error, CVE-2024-1708, es una vulnerabilidad de recorrido de ruta que se puede utilizar junto con el otro error para plantar de forma remota código malicioso en un sistema afectado.
En una publicación en Mastodon el jueves, Sophos dijo que había observado «varios ataques LockBit» luego de la explotación de las vulnerabilidades de ConnectWise.
“Aquí hay dos cosas de interés: en primer lugar, como otros han señalado, las vulnerabilidades de ScreenConnect se están explotando activamente en la naturaleza. En segundo lugar, a pesar de la operación policial contra LockBit, parece que algunos afiliados todavía están en funcionamiento”, dijo Sophos, refiriéndose a la operación policial a principios de esta semana que pretendía derribar la infraestructura de LockBit.
Christopher Budd, director de investigación de amenazas de Sophos X-Ops, dijo a TechCrunch por correo electrónico que las observaciones de la compañía muestran que «ScreenConnect fue el comienzo de la cadena de ejecución observada y la versión de ScreenConnect en uso era vulnerable».
Max Rogers, director senior de operaciones de amenazas de Huntress, dijo a TechCrunch que la compañía de ciberseguridad también ha observado la implementación del ransomware LockBit en ataques que explotan la vulnerabilidad ScreenConnect.
Rogers dijo que Huntress ha visto el ransomware LockBit implementado en sistemas de clientes que abarcan una variedad de industrias, pero se negó a nombrar a los clientes afectados.
La infraestructura del ransomware LockBit fue confiscada a principios de esta semana como parte de una amplia operación policial internacional dirigida por la Agencia Nacional contra el Crimen del Reino Unido. La operación derribó los sitios web públicos de LockBit, incluido su sitio de filtración en la web oscura, que la pandilla utilizaba para publicar datos robados de las víctimas. El sitio de la filtración ahora alberga información descubierta por la operación liderada por el Reino Unido que expone las capacidades y operaciones de LockBit.
La acción, conocida como «Operación Cronos», también supuso la caída de 34 servidores en Europa, el Reino Unido y los Estados Unidos, la incautación de más de 200 carteras de criptomonedas y el arresto de dos presuntos miembros de LockBit en Polonia y Ucrania.
“No podemos atribuir [the ransomware attacks abusing the ConnectWise flaws] directamente al grupo LockBit más grande, pero está claro que LockBit tiene un gran alcance que abarca herramientas, varios grupos de afiliados y ramificaciones que no han sido completamente borradas incluso con la importante eliminación por parte de las fuerzas del orden”, dijo Rogers a TechCrunch por correo electrónico.
Cuando se le preguntó si la implementación de ransomware era algo que ConnectWise también estaba observando internamente, el director de seguridad de la información de ConnectWise, Patrick Beggs, dijo a TechCrunch que «esto no es algo que estemos viendo hoy».
Aún se desconoce cuántos usuarios de ConnectWise ScreenConnect se han visto afectados por esta vulnerabilidad, y ConnectWise se negó a proporcionar cifras. El sitio web de la empresa afirma que la organización proporciona su tecnología de acceso remoto a más de un millón de pequeñas y medianas empresas.
Según la Fundación Shadowserver, una organización sin fines de lucro que recopila y analiza datos sobre actividades maliciosas en Internet, las fallas de ScreenConnect están siendo «ampliamente explotadas». La organización sin fines de lucro dijo el jueves en una publicación en Xanteriormente Twitter, que hasta ahora había observado 643 direcciones IP explotando las vulnerabilidades, añadiendo que más de 8.200 servidores siguen siendo vulnerables.