\n<\/p>\n
Los expertos en seguridad advierten que los piratas inform\u00e1ticos est\u00e1n explotando un par de fallas de alto riesgo en una popular herramienta de acceso remoto para implementar el ransomware LockBit, d\u00edas despu\u00e9s de que las autoridades anunciaran que hab\u00edan desbaratado a la notoria banda de delitos cibern\u00e9ticos vinculada a Rusia.<\/p>\n
Los investigadores de las empresas de ciberseguridad Huntress y Sophos dijeron a TechCrunch el jueves que ambos hab\u00edan observado ataques LockBit luego de la explotaci\u00f3n de un conjunto de vulnerabilidades que afectan a ConnectWise ScreenConnect, una herramienta de acceso remoto ampliamente utilizada por los t\u00e9cnicos de TI para brindar soporte t\u00e9cnico remoto en los sistemas de los clientes.<\/p>\n
Los defectos consisten en dos errores. CVE-2024-1709 es una vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n considerada \u00abvergonzosamente f\u00e1cil\u00bb de explotar, que ha estado bajo explotaci\u00f3n activa desde el martes, poco despu\u00e9s de que ConnectWise publicara actualizaciones de seguridad e instara a las organizaciones a aplicar parches. El otro error, CVE-2024-1708, es una vulnerabilidad de recorrido de ruta que se puede utilizar junto con el otro error para plantar de forma remota c\u00f3digo malicioso en un sistema afectado.<\/p>\n
En una publicaci\u00f3n en Mastodon el jueves, Sophos dijo que hab\u00eda observado \u00abvarios ataques LockBit\u00bb luego de la explotaci\u00f3n de las vulnerabilidades de ConnectWise.<\/p>\n
\u201cAqu\u00ed hay dos cosas de inter\u00e9s: en primer lugar, como otros han se\u00f1alado, las vulnerabilidades de ScreenConnect se est\u00e1n explotando activamente en la naturaleza. En segundo lugar, a pesar de la operaci\u00f3n policial contra LockBit, parece que algunos afiliados todav\u00eda est\u00e1n en funcionamiento\u201d, dijo Sophos, refiri\u00e9ndose a la operaci\u00f3n policial a principios de esta semana que pretend\u00eda derribar la infraestructura de LockBit.<\/p>\n
Christopher Budd, director de investigaci\u00f3n de amenazas de Sophos X-Ops, dijo a TechCrunch por correo electr\u00f3nico que las observaciones de la compa\u00f1\u00eda muestran que \u00abScreenConnect fue el comienzo de la cadena de ejecuci\u00f3n observada y la versi\u00f3n de ScreenConnect en uso era vulnerable\u00bb.<\/p>\n
Max Rogers, director senior de operaciones de amenazas de Huntress, dijo a TechCrunch que la compa\u00f1\u00eda de ciberseguridad tambi\u00e9n ha observado la implementaci\u00f3n del ransomware LockBit en ataques que explotan la vulnerabilidad ScreenConnect.<\/p>\n
Rogers dijo que Huntress ha visto el ransomware LockBit implementado en sistemas de clientes que abarcan una variedad de industrias, pero se neg\u00f3 a nombrar a los clientes afectados.<\/p>\n
La infraestructura del ransomware LockBit fue confiscada a principios de esta semana como parte de una amplia operaci\u00f3n policial internacional dirigida por la Agencia Nacional contra el Crimen del Reino Unido. La operaci\u00f3n derrib\u00f3 los sitios web p\u00fablicos de LockBit, incluido su sitio de filtraci\u00f3n en la web oscura, que la pandilla utilizaba para publicar datos robados de las v\u00edctimas. El sitio de la filtraci\u00f3n ahora alberga informaci\u00f3n descubierta por la operaci\u00f3n liderada por el Reino Unido que expone las capacidades y operaciones de LockBit.<\/p>\n
La acci\u00f3n, conocida como \u00abOperaci\u00f3n Cronos\u00bb, tambi\u00e9n supuso la ca\u00edda de 34 servidores en Europa, el Reino Unido y los Estados Unidos, la incautaci\u00f3n de m\u00e1s de 200 carteras de criptomonedas y el arresto de dos presuntos miembros de LockBit en Polonia y Ucrania.<\/p>\n
\u201cNo podemos atribuir [the ransomware attacks abusing the ConnectWise flaws] directamente al grupo LockBit m\u00e1s grande, pero est\u00e1 claro que LockBit tiene un gran alcance que abarca herramientas, varios grupos de afiliados y ramificaciones que no han sido completamente borradas incluso con la importante eliminaci\u00f3n por parte de las fuerzas del orden\u201d, dijo Rogers a TechCrunch por correo electr\u00f3nico.<\/p>\n
Cuando se le pregunt\u00f3 si la implementaci\u00f3n de ransomware era algo que ConnectWise tambi\u00e9n estaba observando internamente, el director de seguridad de la informaci\u00f3n de ConnectWise, Patrick Beggs, dijo a TechCrunch que \u00abesto no es algo que estemos viendo hoy\u00bb.<\/p>\n
A\u00fan se desconoce cu\u00e1ntos usuarios de ConnectWise ScreenConnect se han visto afectados por esta vulnerabilidad, y ConnectWise se neg\u00f3 a proporcionar cifras. El sitio web de la empresa afirma que la organizaci\u00f3n proporciona su tecnolog\u00eda de acceso remoto a m\u00e1s de un mill\u00f3n de peque\u00f1as y medianas empresas.<\/p>\n
Seg\u00fan la Fundaci\u00f3n Shadowserver, una organizaci\u00f3n sin fines de lucro que recopila y analiza datos sobre actividades maliciosas en Internet, las fallas de ScreenConnect est\u00e1n siendo \u00abampliamente explotadas\u00bb. La organizaci\u00f3n sin fines de lucro dijo el jueves en una publicaci\u00f3n en X<\/a>anteriormente Twitter, que hasta ahora hab\u00eda observado 643 direcciones IP explotando las vulnerabilidades, a\u00f1adiendo que m\u00e1s de 8.200 servidores siguen siendo vulnerables.<\/p>\n<\/p><\/div>\n