Black Basta и Bl00dy в деле: фронт атак на ScreenConnect продолжает расширяться

Киберпреступные группировки Black Basta и Bl00dy присоединились к массовым атакам на уязвимые серверы ScreenConnect. Под прицелом все пользователи, которые не успели обновить свои системы.

При этом исправление для критической уязвимости обхода аутентификации (CVE-2024-1709) уже есть. Этот баг позволяет злоумышленникам создавать администраторские учетные записи на открытых серверах, удалять всех остальных пользователей и получать полный контроль над любой системой.

Хакеры начали эксплуатировать CVE-2024-1709 всего через день после выхода обновлений от ConnectWise и публикации POC-эксплоитов несколькими компаниями.

На прошлой неделе ConnectWise также исправила критическую уязвимость обхода каталогов (CVE-2024-1708), которую могут использовать только злоумышленники с высокими привилегиями.

Компания сняла все лицензионные ограничения, чтобы клиенты с просроченными лицензиями могли обезопасить себя от текущих атак, поскольку эти две проблемы затрагивают все версии ScreenConnect.

В четверг CISA также добавила CVE-2024-1709 в свой каталог известных эксплуатируемых уязвимостей, приказав федеральным агентствам США принять меры по защите сетей до 29 февраля.

По данным Shadowserver, уязвимость уже крайне активно используется на практике — десятки IP-адресов нацелены на открытые онлайн серверы ScreenConnect. Сервис Shodan отслеживает более 10 000 таких серверов, из которых только 1559 работают на исправленной версии 23.9.8.

Анализируя инциденты, Trend Micro обнаружила, что группировки Black Basta и Bl00dy также начали эксплуатировать дефекты в ScreenConnect для первоначального доступа и установки бэкдоров.

По данным аналитиков, после получения доступа к сетям жертв злоумышленники проводят разведку и повышают свои привилегии в системе. Группировка Black Basta использовала для закрепления в скомпрометированных системах инструмент Cobalt Strike. Bl00dy применяла вредоносные программы, созданные с помощью утекших в сеть билдеров Conti и LockBit.

Кроме того, злоумышленники устанавливали многофункциональный вредонос XWorm, обладающий возможностями RAT и вымогателя.

Некоторые атакующие использовали доступ к серверам ScreenConnect для установки инструментов удаленного управления, таких как Atera, Syncro или дополнительных экземпляров ConnectWise.

Специалисты компании Sophos обнаружили несколько полезных нагрузок вымогателя, созданных с помощью утечки билдера LockBit, включая buhtiRansom, найденный в 30 разных сетях.

Компания Huntress также подтвердила, что CVE-2024-1709 уже была задействована во множестве инцидентов. В частности, с её помощью были атакованы местные органы власти, включая системы, связанные со службой 911, и крупная медицинская клиника.

Как заявили в компании Trend Micro после детального анализа кибератак с использованием уязвимостей ConnectWise ScreenConnect, срочное обновление до последней версии ПО — это уже не просто рекомендация, а критически важная мера.