Twee dagen nadat een internationaal team van autoriteiten LockBit, een van de meest productieve ransomware-syndicaten op internet, een grote klap heeft toegebracht, hebben onderzoekers een nieuwe reeks aanvallen ontdekt waarbij malware wordt geïnstalleerd die aan de groep is gekoppeld.
De aanvallen, die de afgelopen 24 uur zijn ontdekt, maken misbruik van twee kritieke kwetsbaarheden in ScreenConnect, een externe desktopapplicatie die wordt verkocht door Connectwise. Volgens onderzoekers van twee beveiligingsbedrijven – SophosXOps en Huntress – installeren aanvallers die met succes misbruik maken van de kwetsbaarheden na misbruik LockBit-ransomware en andere malware. Het was niet meteen duidelijk of de ransomware de officiële LockBit-versie was.
“We kunnen op dit moment de klanten niet publiekelijk noemen, maar we kunnen wel bevestigen dat de malware die wordt ingezet gerelateerd is aan LockBit, wat vooral interessant is in het licht van de recente verwijdering van LockBit”, schreef John Hammond, hoofdbeveiligingsonderzoeker bij Huntress. e-mail. “Hoewel we dit niet direct kunnen toeschrijven aan de grotere LockBit-groep, is het duidelijk dat LockBit een groot bereik heeft, dat tools, verschillende aangesloten groepen en uitlopers omvat die nog niet volledig zijn weggevaagd, zelfs niet na grootschalige verwijdering door wetshandhavers. “
Hammond zei dat ransomware wordt ingezet in “dierenartsenpraktijken, gezondheidsklinieken en lokale overheden (inclusief aanvallen op systemen die zijn verbonden met 911-systemen).”
Het vertroebelen van de attributiewateren
SophosXOps en Huntress hebben niet gezegd of de ransomware die wordt geïnstalleerd de officiële LockBit-build is of een versie die in 2022 door een ontevreden LockBit-insider is gelekt. De gelekte builder is sindsdien op grote schaal verspreid en heeft een aantal copycat-aanvallen uitgevoerd die geen deel uitmaken van de officiële operatie. .
“Als er materiaal lekt, kan het de wateren ook vertroebelen wat betreft de toeschrijving”, zeiden onderzoekers van beveiligingsbedrijf Trend Micro donderdag. “In augustus 2023 merkten we bijvoorbeeld dat een groep zichzelf de Flamingo-groep noemde en de gelekte LockBit-lading gebruikte die bij de Rhadamanthys-dief was geleverd. In november 2023 vonden we een andere groep, Spacecolon genaamd, die zich voordeed als LockBit. De groep gebruikte e-mailadressen en URL’s waardoor slachtoffers de indruk kregen dat ze met LockBit te maken hadden.”
SophosXOps zei alleen dat het “verschillende LockBit-aanvallen had waargenomen”. Een woordvoerder van het bedrijf zei dat hij geen verdere details had. Hammond zei dat de malware “gerelateerd” was aan een groep ransomware en dat hij niet onmiddellijk kon bevestigen of de malware een officiële versie of een nepversie was.
De aanvallen komen twee dagen nadat functionarissen in Groot-Brittannië, de VS en Europol een grote sluiting van LockBit hadden aangekondigd. De operatie omvatte het in beslag nemen van de controle over 14.000 accounts en 34 servers, het arresteren van twee verdachten en het uitvaardigen van vijf aanklachten en drie arrestatiebevelen. De autoriteiten hebben ook 200 cryptocurrency-accounts bevroren die verband hielden met de ransomware-operatie. De acties kwamen nadat onderzoekers de infrastructuur van LockBit hadden gehackt en de controle overnamen.
Autoriteiten zeggen dat LockBit ruim 120 miljoen dollar heeft afgeperst van duizenden slachtoffers wereldwijd, waardoor het een van de meest actieve ransomwaregroepen ter wereld is. Net als de meeste andere ransomwaregroepen werkt LockBit volgens een ransomware-as-a-service-model, waarbij partners de inkomsten delen die ze genereren in ruil voor het gebruik van LockBit-ransomware en infrastructuur.
Gezien het grote aantal dochterondernemingen en hun brede geografische en organisatorische spreiding is het vaak niet haalbaar om ze allemaal te neutraliseren in acties zoals die welke dinsdag zijn aangekondigd. Het is mogelijk dat sommige aangesloten bedrijven operationeel blijven en willen aangeven dat de ransomware-franchise in een of andere vorm zal voortduren. Het is ook mogelijk dat de infecties waarmee SophosXOps en Huntress worden geconfronteerd het werk zijn van een niet-verwante groep acteurs met andere motieven.
Naast het installeren van LockBit-gerelateerde ransomware, zeggen Hammond, installeren aanvallers verschillende andere kwaadaardige applicaties, waaronder een achterdeur bekend als Cobalt Strike, cryptocurrency-miners en SSH-tunnels om op afstand verbinding te maken met de gecompromitteerde infrastructuur.
De ScreenConnect-kwetsbaarheden worden op grote schaal misbruikt en worden bijgehouden als CVE-2024-1708 en CVE-2024-1709. ConnectWise heeft patches beschikbaar gesteld voor alle kwetsbare versies, ook de versies die niet langer actief worden ondersteund.