Los expertos en seguridad están advirtiendo que un par de fallos de alto riesgo en una herramienta de acceso remoto popular están siendo explotados por hackers para desplegar el ransomware LockBit, días después de que las autoridades anunciaran que habían interrumpido al notorio grupo de ciberdelincuentes vinculado con Rusia.
Investigadores de empresas de ciberseguridad Huntress y Sophos dijeron a TechCrunch el jueves que ambos habían observado ataques de LockBit tras la explotación de un conjunto de vulnerabilidades que afectaban a ConnectWise ScreenConnect, una herramienta de acceso remoto ampliamente utilizada por técnicos de IT para proporcionar soporte técnico remoto en sistemas de clientes.
Los fallos constan de dos errores. CVE-2024-1709 es una vulnerabilidad de bypass de autenticación que se considera «embarazosamente fácil» de explotar, que ha estado en explotación activa desde el martes, poco después de que ConnectWise lanzara actualizaciones de seguridad y urgió a las organizaciones a parchar. El otro error, CVE-2024-1708, es una vulnerabilidad de traversal de ruta que puede ser utilizado junto con otros errores para plantar código malicioso de forma remota en un sistema afectado.
En una publicación en Mastodon, Sophos afirmó que había observado «varios ataques de LockBit» tras la explotación de las vulnerabilidades de ConnectWise.
«Cabe destacar dos cosas de interés aquí: primero, como han señalado otros, las vulnerabilidades de ScreenConnect están siendo explotadas activamente en la naturaleza. En segundo lugar, a pesar de la operación policial contra LockBit, parece ser que algunos afiliados todavía están operativos», dijo Sophos refiriéndose a la operación policial a principios de semana que afirmó haber desmantelado la infraestructura de LockBit.
La infraestructura del ransomware LockBit fue incautada a principios de semana como parte de una amplia operación policial internacional dirigida por la Agencia Nacional del Crimen del Reino Unido. La operación desmanteló los sitios web públicos de LockBit, incluido su sitio web de dark web, que la banda usaba para publicar datos robados de las víctimas.
La acción, conocida como «Operación Cronos», también vio el desmantelamiento de 34 servidores en Europa, Reino Unido y Estados Unidos, la incautación de más de 200 monederos de criptomonedas y la detención de dos presuntos miembros de LockBit en Polonia y Ucrania.
Cuando se le preguntó si el despliegue de ransomware era algo que también estaba observando internamente ConnectWise, Patrick Beggs, director de seguridad de la información de ConnectWise, dijo que «esto no es algo que estemos viendo a día de hoy».
Aún se desconoce cuántos usuarios de ConnectWise ScreenConnect se han visto afectados por esta vulnerabilidad, y ConnectWise se negó a proporcionar cifras. El sitio web de la compañía afirma que proporciona su tecnología de acceso remoto a más de un millón de pequeñas y medianas empresas.
Según la Fundación Shadowserver, una organización sin ánimo de lucro que recopila y analiza datos sobre actividades maliciosas en Internet, las vulnerabilidades de ScreenConnect están siendo ampliamente explotadas. La organización sin fines de lucro dijo el jueves en una publicación en X, anteriormente Twitter, que hasta el momento había observado 643 direcciones IP explotando las vulnerabilidades, agregando que más de 8,200 servidores permanecen vulnerables.