Deux jours après qu’une équipe internationale d’autorités ait porté un coup dur à LockBit, l’un des syndicats de ransomwares les plus prolifiques d’Internet, les chercheurs ont détecté une nouvelle série d’attaques installant des logiciels malveillants associés au groupe.
Les attaques, détectées au cours des dernières 24 heures, exploitent deux vulnérabilités critiques de ScreenConnect, une application de bureau à distance vendue par Connectwise. Selon les chercheurs de deux sociétés de sécurité, SophosXOps et Huntress, les attaquants qui réussissent à exploiter les vulnérabilités installent ensuite le ransomware LockBit et d’autres logiciels malveillants post-exploit. Il n’était pas immédiatement clair si le ransomware était la version officielle de LockBit.
« Nous ne pouvons pas nommer publiquement les clients pour le moment, mais pouvons confirmer que le malware déployé est associé à LockBit, ce qui est particulièrement intéressant dans le contexte du récent retrait de LockBit », a écrit John Hammond, chercheur principal en sécurité chez Huntress, dans un communiqué. e-mail. « Bien que nous ne puissions pas attribuer cela directement au groupe LockBit dans son ensemble, il est clair que LockBit a une large portée qui s’étend sur des outils, divers groupes affiliés et des ramifications qui n’ont pas été complètement effacées, même avec le retrait majeur des forces de l’ordre. »
Hammond a déclaré que le ransomware est déployé dans « des cabinets vétérinaires, des cliniques de santé et des gouvernements locaux (y compris des attaques contre des systèmes liés aux systèmes 911) ».
Brouiller les pistes en matière d’attribution
SophosXOps et Huntress n’ont pas précisé si le ransomware installé était la version officielle de LockBit ou une version divulguée par un initié mécontent de LockBit en 2022. Le constructeur divulgué a largement circulé depuis lors et a déclenché une série d’attaques de copie qui ne le sont pas. partie de l’opération officielle.
« Lorsque des builds sont divulgués, cela peut également brouiller les pistes en ce qui concerne l’attribution », ont déclaré jeudi des chercheurs de la société de sécurité Trend Micro. « Par exemple, en août 2023, nous avons observé un groupe qui se faisait appeler le groupe Flamingo en utilisant une charge utile LockBit divulguée associée au voleur Rhadamanthys. En novembre 2023, nous avons trouvé un autre groupe, sous le surnom de Spacecolon, se faisant passer pour LockBit. Le groupe a utilisé des adresses e-mail et des URL qui donnaient aux victimes l’impression qu’elles avaient affaire à LockBit.
SophosXOps a seulement déclaré avoir « observé plusieurs attaques LockBit ». Un porte-parole de l’entreprise a déclaré qu’aucun autre détail n’était disponible. Hammond a déclaré que le logiciel malveillant était « associé » au groupe de ransomwares et n’était pas immédiatement en mesure de confirmer s’il s’agissait de la version officielle ou d’une imitation.
Les attaques surviennent deux jours après que des responsables britanniques, américains et Europol ont annoncé une perturbation majeure de LockBit. L’action comprenait la prise de contrôle de 14 000 comptes et 34 serveurs, l’arrestation de deux suspects et l’émission de cinq actes d’accusation et de trois mandats d’arrêt. Les autorités ont également gelé 200 comptes de crypto-monnaie liés à l’opération ransomware. Ces actions sont intervenues après que les enquêteurs ont piraté et pris le contrôle de l’infrastructure LockBit.
Les autorités ont déclaré que LockBit avait extorqué plus de 120 millions de dollars à des milliers de victimes à travers le monde, ce qui en fait l’un des groupes de ransomwares les plus actifs au monde. Comme la plupart des autres groupes de ransomwares, LockBit fonctionne selon un modèle de ransomware-as-a-service, dans lequel les affiliés partagent les revenus qu’ils génèrent en échange de l’utilisation du ransomware et de l’infrastructure LockBit.
Compte tenu du grand nombre d’affiliés et de leur large répartition géographique et organisationnelle, il est souvent impossible de les neutraliser tous dans des actions comme celle annoncée mardi. Il est possible que certains affiliés restent opérationnels et souhaitent signaler que la franchise des ransomwares se poursuivra sous une forme ou une autre. Il est également possible que les infections observées par SophosXOps et Huntress soient l’œuvre d’un groupe d’acteurs non affiliés ayant d’autres motivations.
En plus d’installer le ransomware associé à LockBit, a déclaré Hammond, les attaquants installent plusieurs autres applications malveillantes, notamment une porte dérobée connue sous le nom de Cobalt Strike, des mineurs de cryptomonnaie et des tunnels SSH pour se connecter à distance à une infrastructure compromise.
Les vulnérabilités ScreenConnect sont exploitées en masse et sont suivies comme CVE-2024-1708 et CVE-2024-1709. ConnectWise a mis à disposition des correctifs pour toutes les versions vulnérables, y compris celles qui ne sont plus activement prises en charge.