更新：勒索软件攻击中利用了新的 ScreenConnect RCE 漏洞

美国东部时间 2 月 23 日 07：02 更新：Sophos 今天发布了一份报告，称他们发现的勒索软件有效载荷是使用 LockBit 勒索软件构建器构建的，该构建器由 2022 年 9 月下旬心怀不满的恶意软件开发人员在线泄露。

Sophos 在本周的攻击中看到的样本是 buhtiRansom LockBit 变体，该变体投放到 30 个不同的客户网络上，以及使用泄露的 Lockbit 构建器创建的第二个有效载荷（并由不同的威胁参与者投放）。

“2024 年 2 月 22 日，Sophos X-Ops 通过我们的社交媒体句柄报告说，尽管最近针对 LockBit 威胁行为者组织开展了执法活动，但我们在过去 24 小时内观察到了几起攻击，这些攻击似乎是使用 LockBit 勒索软件进行的，这些勒索软件是使用泄露的恶意软件构建器工具构建的，”Sophos 解释说。

“我们基于签名的检测似乎正确地将有效载荷识别为泄露的 LockBit 构建器生成的勒索软件，但这些有效载荷掉落的赎金票据将一个识别为”buhtiRansom“，而另一个在其赎金票据中没有名字。”

标题作了相应修改。原文如下。

攻击者正在利用最高严重性身份验证绕过漏洞来破坏未修补的 ScreenConnect 服务器，并在受感染的网络上部署 LockBit 勒索软件有效负载。

自周二以来，最高严重性 CVE-2024-1709 身份验证绕过漏洞一直处于主动利用状态，此前一天，ConnectWise 发布了安全更新，几家网络安全公司发布了概念验证漏洞。

ConnectWise 还修补了 CVE-2024-1708 高严重性路径遍历漏洞，该漏洞只能由具有高权限的威胁行为者滥用。

这两个安全漏洞都会影响所有ScreenConnect版本，促使该公司周三取消所有许可证限制，以便许可证过期的客户可以升级到最新的软件版本并保护其服务器免受攻击。

CISA 今天将 CVE-2024-1709 添加到其已知利用漏洞目录中，命令美国联邦机构在 2 月 29 日之前的一周内保护其服务器。

根据安全威胁监控平台 Shadowserver 的数据，CVE-2024-1709 现在在野外被广泛利用，目前有 643 个 IP 针对易受攻击的服务器。

Shodan目前跟踪超过8,659台ScreenConnect服务器，只有980台运行ScreenConnect 23.9.8补丁版本。

在 LockBit 勒索软件攻击中被利用

今天，Sophos X-Ops 透露，威胁行为者在使用针对这两个 ScreenConnect 漏洞的漏洞获得访问权限后，一直在受害者的系统上部署 LockBit 勒索软件。

“在过去的 24 小时内，我们观察到了几起 LockBit 攻击，显然是在利用最近的 ConnectWise ScreenConnect 漏洞 （CVE-2024-1708 / CVE-2024-1709） 之后，”Sophos 的威胁响应工作组说。

“这里有两件有趣的事情：首先，正如其他人所指出的，ScreenConnect漏洞正在被积极利用。其次，尽管对LockBit采取了执法行动，但似乎一些附属公司仍在运行。

网络安全公司 Huntress 证实了他们的调查结果，并告诉 BleepingComputer，“地方政府，包括可能与其 911 系统相关的系统”和“医疗保健诊所”也遭到了 LockBit 勒索软件攻击者的攻击，他们使用 CVE-2024-1709 漏洞来破坏他们的网络。

“我们可以确认正在部署的恶意软件与Lockbit有关，”Huntress在一封电子邮件中说。

“我们不能将此直接归咎于更大的 LockBit 集团，但很明显，Lockbit 的影响力很大，涵盖工具、各种附属团体和分支，即使执法部门进行了重大取缔，这些分支也没有被完全抹去。”

LockBit 在 Cronos 行动中被拆除

LockBit 勒索软件的基础设施本周被查封，此前其暗网泄漏网站于周一在英国国家犯罪局 （NCA） 领导的代号为 Cronos 行动的全球执法行动中被关闭。

作为此次联合行动的一部分，日本警察厅开发了一个免费的 LockBit 3.0 Black Ransomware 解密器，使用从 LockBit 被扣押的服务器中检索到 1,000 多个解密密钥，并在“No More Ransom”门户网站上发布。

在克罗诺斯行动期间，几家 LockBit 附属公司在波兰和乌克兰被捕，而法国和美国当局针对其他 LockBit 威胁行为者发出了三份国际逮捕令和五份起诉书。美国司法部对俄罗斯嫌疑人阿图尔·桑加托夫（Artur Sungatov）和伊万·根纳季耶维奇·康德拉季耶夫（Ivan Gennadievich Kondratiev，又名巴斯特洛德）提出了两项起诉。

执法部门还公布了该组织查获的暗网泄密网站的更多信息，显示 LockBit 自 2019 年 9 月出现以来至少有 188 家附属公司。

在过去的四年里，LockBit声称对全球许多大型和政府组织进行了攻击，包括波音公司，大陆汽车巨头，英国皇家邮政和意大利国税局。

美国国务院现在提供高达 1500 万美元的奖励，以提供有关 LockBit 勒索软件团伙成员及其同伙的信息。

正如 BleepingComputer 今天报道的那样，LockBit 开发人员正在秘密开发一个名为 LockBit-NG-Dev（可能成为 LockBit 4.0）的新恶意软件版本。

原文始发于微信公众号（HackSee）：更新：勒索软件攻击中利用了新的 ScreenConnect RCE 漏洞