Sicherheitsexperten warnen, dass zwei hochriskante Schwachstellen in einem beliebten Fernzugriffstool von Hackern ausgenutzt werden, um die LockBit-Ransomware einzusetzen – nur wenige Tage nachdem die Behörden bekannt gegeben hatten, dass sie die berüchtigte mit Russland verbundene Cyberkriminalitätsbande zerschlagen hatten.
Forscher der Cybersicherheitsunternehmen Huntress und Sophos teilten Tech am Donnerstag mit, dass beide LockBit-Angriffe nach der Ausnutzung einer Reihe von Schwachstellen bei ConnectWise ScreenConnect beobachtet hätten, einem weit verbreiteten Fernzugriffstool, das von IT-Technikern zur technischen Fernunterstützung auf Kundensystemen verwendet wird.
Die Mängel bestehen aus zwei Fehlern. CVE-2024-1709 ist eine Sicherheitslücke zur Authentifizierungsumgehung, die als „peinlich einfach“ auszunutzen gilt und seit Dienstag aktiv ausgenutzt wird, kurz nachdem ConnectWise Sicherheitsupdates veröffentlicht und Unternehmen zum Patchen aufgefordert hat. Der andere Fehler, CVE-2024-1708, ist eine Path-Traversal-Schwachstelle, die in Verbindung mit dem anderen Fehler verwendet werden kann, um aus der Ferne Schadcode auf einem betroffenen System einzuschleusen.
In ein Beitrag auf Mastodon Am Donnerstag gab Sophos an, nach der Ausnutzung der ConnectWise-Schwachstellen „mehrere LockBit-Angriffe“ beobachtet zu haben.
„Hier sind zwei Dinge von Interesse: Erstens werden die ScreenConnect-Schwachstellen, wie andere angemerkt haben, aktiv ausgenutzt. Zweitens scheinen einige Tochtergesellschaften trotz der Strafverfolgungsoperation gegen LockBit immer noch aktiv zu sein“, sagte Sophos und bezog sich dabei auf die Strafverfolgungsoperation Anfang dieser Woche, die angeblich die Infrastruktur von LockBit lahmgelegt hatte.
Christopher Budd, Leiter der Bedrohungsforschung bei Sophos
Max Rogers, Senior Director of Threat Operations bei Huntress, sagte gegenüber Tech, dass das Cybersicherheitsunternehmen auch den Einsatz der LockBit-Ransomware bei Angriffen beobachtet habe, die die ScreenConnect-Schwachstelle ausnutzen.
Rogers sagte, dass Huntress gesehen habe, wie LockBit-Ransomware auf Kundensystemen aus verschiedenen Branchen eingesetzt wurde, lehnte es jedoch ab, die betroffenen Kunden zu nennen.
Die Infrastruktur der LockBit-Ransomware wurde Anfang dieser Woche im Rahmen einer umfassenden internationalen Strafverfolgungsoperation unter der Leitung der britischen National Crime Agency beschlagnahmt. Die Operation lahmlegte die öffentlich zugänglichen Websites von LockBit, einschließlich der Dark-Web-Leak-Site, die die Bande nutzte, um gestohlene Daten von Opfern zu veröffentlichen. Die Leak-Site beherbergt nun Informationen, die von der von Großbritannien geführten Operation aufgedeckt wurden und die Fähigkeiten und Operationen von LockBit offenlegen.
Bei der als „Operation Cronos“ bekannten Aktion wurden außerdem 34 Server in Europa, Großbritannien und den Vereinigten Staaten abgeschaltet, mehr als 200 Kryptowährungs-Wallets beschlagnahmt und zwei mutmaßliche LockBit-Mitglieder in Polen und der Ukraine festgenommen.
„Wir können nicht zuordnen [the ransomware attacks abusing the ConnectWise flaws] direkt an die größere LockBit-Gruppe, aber es ist klar, dass LockBit eine große Reichweite hat, die sich über Tools, verschiedene Affiliate-Gruppen und Ableger erstreckt, die selbst nach der umfassenden Abschaltung durch die Strafverfolgungsbehörden nicht vollständig gelöscht wurden“, sagte Rogers per E-Mail gegenüber Tech.
Auf die Frage, ob ConnectWise den Einsatz von Ransomware auch intern beobachtet habe, sagte Patrick Beggs, Chief Information Security Officer von ConnectWise, gegenüber Tech: „Dies ist nichts, was wir heute sehen.“
Es ist weiterhin nicht bekannt, wie viele ConnectWise ScreenConnect-Benutzer von dieser Sicherheitslücke betroffen sind, und ConnectWise lehnte es ab, Zahlen anzugeben. Auf der Website des Unternehmens heißt es, dass die Organisation ihre Fernzugriffstechnologie mehr als einer Million kleiner und mittlerer Unternehmen zur Verfügung stellt.
Nach Angaben der Shadowserver Foundation, einer gemeinnützigen Organisation, die Daten über böswillige Internetaktivitäten sammelt und analysiert, werden die ScreenConnect-Schwachstellen „in großem Umfang ausgenutzt“. Das teilte die gemeinnützige Organisation am Donnerstag mit in einem Beitrag auf Xehemals Twitter, gab bekannt, dass bisher 643 IP-Adressen beobachtet wurden, die die Schwachstellen ausnutzten – und fügte hinzu, dass mehr als 8.200 Server weiterhin angreifbar seien.