يحذر خبراء الأمن من أن المتسللين يستغلون عيوب ConnectWise لنشر برنامج الفدية LockBit

يحذر خبراء الأمن من أن اثنين من العيوب عالية الخطورة في أداة الوصول عن بعد الشهيرة يتم استغلالهما من قبل المتسللين لنشر برنامج الفدية LockBit – بعد أيام من إعلان السلطات أنها عطلت عصابة الجرائم الإلكترونية سيئة السمعة المرتبطة بروسيا.

صرح باحثون في شركتي الأمن السيبراني Huntress وSophos لـ TechCrunch يوم الخميس أن كلاهما لاحظا هجمات LockBit بعد استغلال مجموعة من الثغرات الأمنية التي تؤثر على ConnectWise ScreenConnect، وهي أداة وصول عن بعد مستخدمة على نطاق واسع يستخدمها فنيو تكنولوجيا المعلومات لتقديم الدعم الفني عن بعد لأنظمة العملاء.

تتكون العيوب من خللتين. CVE-2024-1709 هي ثغرة أمنية لتجاوز المصادقة تعتبر “سهلة بشكل محرج” للاستغلال، والتي كانت قيد الاستغلال النشط منذ يوم الثلاثاء، بعد وقت قصير من إصدار ConnectWise لتحديثات الأمان وحث المؤسسات على التصحيح. الثغرة الأخرى، CVE-2024-1708، هي ثغرة أمنية في اجتياز المسار والتي يمكن استخدامها مع الثغرة الأخرى لزرع تعليمات برمجية ضارة عن بعد على نظام متأثر.

وفي منشور على Mastodon يوم الخميس، قالت Sophos إنها لاحظت “العديد من هجمات LockBit” بعد استغلال ثغرات ConnectWise.

“هناك شيئان مثيران للاهتمام هنا: أولاً، كما لاحظ آخرون، يتم استغلال ثغرات ScreenConnect بشكل نشط في البرية. ثانيًا، على الرغم من عملية إنفاذ القانون ضد LockBit، يبدو كما لو أن بعض الشركات التابعة لا تزال تعمل،” قال Sophos، في إشارة إلى عملية إنفاذ القانون في وقت سابق من هذا الأسبوع والتي ادعت تدمير البنية التحتية لـ LockBit.

صرح كريستوفر بود، مدير أبحاث التهديدات في Sophos X-Ops، لـ TechCrunch عبر البريد الإلكتروني أن ملاحظات الشركة تظهر أن “ScreenConnect كان بداية سلسلة التنفيذ المرصودة، وأن إصدار ScreenConnect قيد الاستخدام كان ضعيفًا”.

صرح ماكس روجرز، المدير الأول لعمليات التهديدات في Huntress، لـ TechCrunch أن شركة الأمن السيبراني لاحظت أيضًا نشر برنامج الفدية LockBit في هجمات تستغل ثغرة ScreenConnect.

وقال روجرز إن Huntress شاهدت برنامج LockBit Ransomware منتشرًا على أنظمة العملاء التي تغطي مجموعة من الصناعات، لكنه رفض تسمية العملاء المتأثرين.

تم الاستيلاء على البنية التحتية لبرنامج LockBit Ransomware في وقت سابق من هذا الأسبوع كجزء من عملية واسعة النطاق لإنفاذ القانون الدولي بقيادة الوكالة الوطنية لمكافحة الجريمة في المملكة المتحدة. أسقطت العملية مواقع LockBit العامة، بما في ذلك موقع تسريب الويب المظلم الخاص بها، والذي استخدمته العصابة لنشر البيانات المسروقة من الضحايا. يستضيف موقع التسريب الآن المعلومات التي كشفت عنها العملية التي قادتها المملكة المتحدة والتي كشفت عن قدرات LockBit وعملياتها.

وشهد الإجراء، المعروف باسم “عملية كرونوس”، أيضًا إزالة 34 خادمًا في جميع أنحاء أوروبا والمملكة المتحدة والولايات المتحدة، والاستيلاء على أكثر من 200 محفظة عملات مشفرة، واعتقال اثنين من أعضاء LockBit المزعومين في بولندا وأوكرانيا.

“لا يمكننا أن نعزو [the ransomware attacks abusing the ConnectWise flaws] مباشرة إلى مجموعة LockBit الأكبر، ولكن من الواضح أن LockBit تتمتع بمدى وصول كبير يشمل الأدوات والمجموعات التابعة المختلفة والفروع التي لم يتم محوها بالكامل حتى مع الإزالة الكبيرة من قبل سلطات إنفاذ القانون،” قال روجرز لـ TechCrunch عبر البريد الإلكتروني.

عندما سُئل عما إذا كان نشر برامج الفدية أمرًا تراقبه ConnectWise أيضًا داخليًا، قال باتريك بيجز، كبير مسؤولي أمن المعلومات في ConnectWise، لـ TechCrunch: “هذا ليس شيئًا نشهده اعتبارًا من اليوم”.

ولا يزال من غير المعروف عدد مستخدمي ConnectWise ScreenConnect الذين تأثروا بهذه الثغرة الأمنية، وقد رفضت ConnectWise تقديم أرقام. يدعي موقع الشركة على الويب أن المنظمة توفر تقنية الوصول عن بعد لأكثر من مليون شركة صغيرة ومتوسطة الحجم.

وفقًا لمؤسسة Shadowserver، وهي منظمة غير ربحية تعمل على جمع وتحليل البيانات المتعلقة بأنشطة الإنترنت الضارة، فإن عيوب ScreenConnect “يتم استغلالها على نطاق واسع”. وقالت المنظمة غير الربحية يوم الخميس في مشاركة على Xوقالت شركة تويتر سابقًا، إنها لاحظت حتى الآن 643 عنوان IP يستغل الثغرات الأمنية، مضيفة أن أكثر من 8200 خادم لا تزال معرضة للخطر.