Black Basta، عصابات برامج الفدية Bl00dy التي تستغل فيروسات ConnectWise
وقد لوحظ الآن أن المزيد من عصابات برامج الفدية، بما في ذلك عملية Black Basta سيئة السمعة، تستغل اثنتين من نقاط الضعف المهمة في النظام الأساسي لبرنامج ConnectWise ScreenConnect، تم الكشف عنه يوم الاثنين 19 فبراير 2024.
CVE-2024-1708 وCVE-2024-1709 عبارة عن ثغرات اجتياز المسار وتجاوز المصادقة، وتحمل درجات CVSS تبلغ 8.4 و10 على التوالي. قامت ConnectWise بتوفير التصحيحات، وتفاصيل تلك التصحيحات، ومؤشرات الاختراق (IoCs)، والإصدارات الضعيفة، يمكن العثور عليها هنا. توصف بأنها تافهة للاستغلال وخطيرة للغاية.
بحلول يوم الجمعة 23 فبراير، تبين أنه ممثل تهديد باستخدام نسخة مسربة من LockBit – على الأرجح ليس LockBit نظرًا للمشاكل الأخيرة التي واجهتها تلك العصابة – فقد بدأت في استغلال ثغرات ConnectWise ScreenConnect في هجمات برامج الفدية.
وفي وقت سابق من اليوم (الثلاثاء 27 فبراير)، قام باحثو تريند مايكرو، إيان كينيفيك، وجونستيري ديلا كروز، وبيتر جيرنوس نشرت معلومات استخباراتية جديدة الكشف عن اكتشافهم لعصابتي Black Basta وBl00dy لطلب الفدية باستخدام ثغرات ConnectWise ScreenConnect لاستهداف المؤسسات التي فشلت حتى الآن في تصحيحها.
كتب الفريق في إشعار الكشف الخاص به: “لقد وجد قياسنا عن بعد أن مجموعات التهديد المتنوعة تستغل نقاط الضعف في ConnectWise ScreenConnect، مع تكتيكات تتراوح من نشر برامج الفدية إلى سرقة المعلومات وهجمات تسريب البيانات”.
“هذه الأنشطة، التي تنشأ من مجموعات اختراق مختلفة، تسلط الضوء على الحاجة الملحة لتأمين الأنظمة ضد نقاط الضعف هذه…. وهذا يؤكد أيضًا الحاجة الفورية لمستخدمي ScreenConnect لامتلاك استراتيجيات دفاعية فعالة وتصحيح سريع.”
بلاك باستا – والتي في الآونة الأخيرة هاجمت أنظمة مرافق المياه الجنوبية في المملكة المتحدة – تمت ملاحظة نشر إشارات Cobalt Strike في بعض البيئات من أجل إجراء الاستطلاع واكتشاف الأصول وأنشطة تصعيد الامتيازات قبل تنفيذ المراحل النهائية من هجومها.
وتم تعقب مجموعة أخرى، لم تحددها Trend Micro، بعد أن تمت ملاحظتها وهي تحاول تعطيل ميزات المراقبة في الوقت الفعلي في Windows Defender باستخدام PowerShell، وبعد ذلك قامت أيضًا بنشر Cobalt Strike.
وجود Bl00dy، الذي ضرب العام الماضي أهدافًا متعددة خلال يوم الصفر في منصة برامج إدارة الطباعةتم التأكد من ذلك بواسطة Trend Micro بعد أن لاحظوا قيام المجموعة بنشر تصميمات مسربة لكل من خزائن Conti وLockBit Black (LockBit 3.0).
تم أيضًا تعقب الجهات الفاعلة في مجال التهديد وهي تستغل ثغرات ConnectWise ScreenConnect باستخدام البرنامج الضار XWorm متعدد الأوجه، والذي يوفر الوصول عن بعد، وقدرات الانتشار الذاتي، واستخراج البيانات، كما أنه قادر على تنزيل حمولات إضافية.
“نحن نؤكد على ضرورة التحديث إلى أحدث إصدار من البرنامج. لا يُنصح بالتصحيح الفوري فحسب؛ إنه متطلب أمني بالغ الأهمية لحماية أنظمتك من هذه التهديدات المحددة.
“إذا تم استغلال نقاط الضعف هذه، فقد تؤدي إلى تعريض البيانات الحساسة للخطر، وتعطيل العمليات التجارية، وإلحاق خسائر مالية كبيرة. إن حقيقة أن الجهات الفاعلة في مجال التهديد تستخدم نقاط الضعف هذه بنشاط لتوزيع برامج الفدية تضيف طبقة من الإلحاح لاتخاذ إجراءات تصحيحية فورية.
للضرب بسهولة
الباحثون في Huntress Security، الذين كانوا يتتبعون ثغرات ConnectWise ScreenConnect منذ الكشف عنها وكانوا من بين أول من أدرك خطورة العيبين، قال إن الجهات الفاعلة في مجال التهديد التي كانت تستغل الثغرات الأمنية يمكن إيقافها بسهولة، وذلك ببساطة لأنها لم تفعل أي شيء جديد كما.
“لقد أثار استغلال ScreenConnect المثير للاهتمام هذا إعجاب الكثير منا في Huntress خلال الأيام القليلة الماضية، ولكن من المؤسف أن خصومنا لم يلتزموا بإقران هذا الاستغلال الجديد مع جديد “الحرفية”، كتب فريق Huntress في تحديث نُشر في 23 فبراير.
وقالت هنتريس إن معظم أنشطة ما بعد الاختراق التي تمت ملاحظتها حتى الآن لم تكن جديدة أو أصلية أو متميزة، وذلك ببساطة لأن معظم الجهات الفاعلة في مجال التهديد ليست متطورة بشكل رهيب ولا يعرفون حقًا ما يجب عليهم فعله بخلاف الحرفية الإجرائية، لذا فهم يلتزمون بالأساليب المجربة والحقيقية. وهذا يجعلهم يتعرضون للضرب بسهولة من قبل فريق أمني مختص في منتصف الطريق.