Νέο κύμα επιθέσεων του Ransomware LockBit αναδύεται μετά την πρόσφατη καταστολή του

Στον απόηχο της πρόσφατης διεθνούς καταστολής του LockBit, ενός διαβόητου συνδικάτου ransomware, ερευνητές ασφαλείας ανακάλυψαν μια νέα σειρά επιθέσεων που εκμεταλλεύονται κρίσιμα τρωτά σημεία στο ScreenConnect, μια εφαρμογή απομακρυσμένης επιφάνειας εργασίας που αναπτύχθηκε από την Connectwise. Οι επιθέσεις, που εντοπίστηκαν μέσα στις τελευταίες 24 ώρες, αξιοποιούν δύο σημαντικές ευπάθειες στο ScreenConnect, οδηγώντας στην εγκατάσταση του ransomware LockBit και άλλων κακόβουλων προγραμμάτων μετά την εκμετάλλευση.

Οι ερευνητές της SophosXOps και της Huntress, οι οποίοι εντόπισαν τις τελευταίες επιθέσεις, δεν έχουν επιβεβαιώσει οριστικά αν το ransomware που εγκαθίσταται είναι η επίσημη έκδοση LockBit ή μια παραλλαγή που διέρρευσε από έναν δυσαρεστημένο insider το 2022. Ο κατασκευαστής που διέρρευσε κυκλοφόρησε ευρέως, προκαλώντας μια σειρά από επιθέσεις αντιγραφής που λειτουργούν ανεξάρτητα από την επίσημη επιχείρηση LockBit.

Ο John Hammond, επικεφαλής ερευνητής ασφάλειας στην Huntress, τόνισε την ευρεία εμβέλεια του LockBit, που εκτείνεται σε διάφορες "θυγατρικές" ομάδες και παρακλάδια που κατάφεραν να επιμείνουν παρά την πρόσφατη κατάσχεση από τις διωκτικές αρχές. Οι τομείς που επηρεάζονται περιλαμβάνουν κτηνιατρεία, κλινικές υγείας και τοπικές κυβερνήσεις, ενώ αναφέρθηκαν επιθέσεις που στόχευαν ακόμη και συστήματα που σχετίζονται με τις υπηρεσίες έκτακτης ανάγκης 911.

Οι πρόσφατες ενέργειες κατά της LockBit, που συντονίστηκαν από τις αρχές του Ηνωμένου Βασιλείου, των ΗΠΑ και της Europol, περιλάμβαναν την κατάσχεση του ελέγχου 14.000 λογαριασμών και 34 διακομιστών, τη σύλληψη υπόπτων, την έκδοση κατηγορητηρίων και ενταλμάτων σύλληψης και τη δέσμευση 200 λογαριασμών κρυπτονομισμάτων που συνδέονται με την επιχείρηση ransomware. Παρά τη μεγάλη αναστάτωση, φαίνεται ότι η ομάδα ransomware πραγματοποιεί επιστροφή, αναπτύσσοντας επιθέσεις εναντίον κρίσιμων τομέων.

Ο τεράστιος αριθμός των θυγατρικών ομάδων, σε συνδυασμό με την ποικιλόμορφη γεωγραφική και οργανωτική κατανομή τους, καθιστά δύσκολη την πλήρη εξουδετέρωση όλων των πιθανών απειλών που σχετίζονται με το LockBit. Παραμένει ασαφές αν οι συνεχιζόμενες επιθέσεις ενορχηστρώνονται από τις εναπομείνασες θυγατρικές που σηματοδοτούν τη συνέχιση του franchise ransomware ή από μη συνδεδεμένους φορείς με διαφορετικά κίνητρα.

Εκτός από το ransomware LockBit, οι επιτιθέμενοι αναπτύσσουν διάφορες άλλες κακόβουλες εφαρμογές, όπως η κερκόπορτα Cobalt Strike, ανθρακωρύχοι κρυπτονομισμάτων και σήραγγες SSH για απομακρυσμένη πρόσβαση σε εκτεθειμένες υποδομές.

Οι ευπάθειες στο ScreenConnect που αξιοποιούνται εντοπίζονται ως CVE-2024-1708 και CVE-2024-1709. Η ConnectWise, η εταιρεία ανάπτυξης του ScreenConnect, έχει κυκλοφορήσει διορθωτικά patches για όλες τις ευάλωτες εκδόσεις, συμπεριλαμβανομένων εκείνων που δεν υποστηρίζονται πλέον ενεργά. Οι οργανισμοί καλούνται να εφαρμόσουν άμεσα αυτά τα διορθωτικά στοιχεία για να μειώσουν τον κίνδυνο να πέσουν θύματα των συνεχιζόμενων επιθέσεων που σχετίζονται με το LockBit.