Black Basta и Bl00dy в деле: фронт атак на ScreenConnect продолжает расширяться

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Владельцам необновленных серверов стоит готовиться к худшему.

Киберпреступные группировки Black Basta и Bl00dy присоединились к массовым атакам на уязвимые серверы ScreenConnect. Под прицелом все пользователи, которые не успели обновить свои системы.

При этом исправление для критической уязвимости обхода аутентификации (CVE-2024-1709) уже есть. Этот баг позволяет злоумышленникам создавать администраторские учетные записи на открытых серверах, удалять всех остальных пользователей и получать полный контроль над любой системой.

Хакеры начали эксплуатировать CVE-2024-1709 всего через день после выхода обновлений от ConnectWise и публикации POC-эксплоитов несколькими компаниями.

На прошлой неделе ConnectWise также исправила критическую уязвимость обхода каталогов (CVE-2024-1708), которую могут использовать только злоумышленники с высокими привилегиями.

Компания сняла все лицензионные ограничения, чтобы клиенты с просроченными лицензиями могли обезопасить себя от текущих атак, поскольку эти две проблемы затрагивают все версии ScreenConnect.

В четверг CISA также добавила CVE-2024-1709 в свой каталог известных эксплуатируемых уязвимостей, приказав федеральным агентствам США принять меры по защите сетей до 29 февраля.

Забудь про блокировки! VPN через Телеграмм-бот для России!

По данным Shadowserver, уязвимость уже крайне активно используется на практике — десятки IP-адресов нацелены на открытые онлайн серверы ScreenConnect. Сервис Shodan отслеживает более 10 000 таких серверов, из которых только 1559 работают на исправленной версии 23.9.8.

Анализируя инциденты, Trend Micro обнаружила, что группировки Black Basta и Bl00dy также начали эксплуатировать дефекты в ScreenConnect для первоначального доступа и установки бэкдоров.

По данным аналитиков, после получения доступа к сетям жертв злоумышленники проводят разведку и повышают свои привилегии в системе. Группировка Black Basta использовала для закрепления в скомпрометированных системах инструмент Cobalt Strike. Bl00dy применяла вредоносные программы, созданные с помощью утекших в сеть билдеров Conti и LockBit.

  40 минут, которые меняют мир: ученые создали рекордный темпоральный кристалл

Кроме того, злоумышленники устанавливали многофункциональный вредонос XWorm, обладающий возможностями RAT и вымогателя.

Некоторые атакующие использовали доступ к серверам ScreenConnect для установки инструментов удаленного управления, таких как Atera, Syncro или дополнительных экземпляров ConnectWise.

Специалисты компании Sophos обнаружили несколько полезных нагрузок вымогателя, созданных с помощью утечки билдера LockBit, включая buhtiRansom, найденный в 30 разных сетях.

Компания Huntress также подтвердила, что CVE-2024-1709 уже была задействована во множестве инцидентов. В частности, с её помощью были атакованы местные органы власти, включая системы, связанные со службой 911, и крупная медицинская клиника.

Как заявили в компании Trend Micro после детального анализа кибератак с использованием уязвимостей ConnectWise ScreenConnect, срочное обновление до последней версии ПО — это уже не просто рекомендация, а критически важная мера.

Искусственный интеллект уже умнее вас. Как не стать рабом машин?

Узнайте у нас!

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.