Les experts en sécurité préviennent que deux failles à haut risque dans un outil d’accès à distance populaire sont exploitées par des pirates informatiques pour déployer le ransomware LockBit – quelques jours après que les autorités ont annoncé qu’elles avaient démantelé le célèbre gang de cybercriminalité lié à la Russie.
Des chercheurs des sociétés de cybersécurité Huntress et Sophos ont déclaré jeudi à TechCrunch qu’ils avaient tous deux observé des attaques LockBit suite à l’exploitation d’un ensemble de vulnérabilités affectant ConnectWise ScreenConnect, un outil d’accès à distance largement utilisé par les techniciens informatiques pour fournir une assistance technique à distance sur les systèmes des clients.
Les failles consistent en deux bugs. CVE-2024-1709 est une vulnérabilité de contournement d’authentification jugée « embarrassante et facile » à exploiter, qui est activement exploitée depuis mardi, peu de temps après que ConnectWise a publié des mises à jour de sécurité et a exhorté les organisations à appliquer des correctifs. L’autre bug, CVE-2024-1708, est une vulnérabilité de traversée de chemin qui peut être utilisée conjointement avec l’autre bug pour implanter à distance du code malveillant sur un système affecté.
Dans un article sur Mastodon jeudi, Sophos a déclaré avoir observé « plusieurs attaques LockBit » suite à l’exploitation des vulnérabilités ConnectWise.
« Deux choses intéressantes ici : premièrement, comme d’autres l’ont noté, les vulnérabilités de ScreenConnect sont activement exploitées dans la nature. Deuxièmement, malgré l’opération policière contre LockBit, il semble que certains affiliés soient toujours opérationnels », a déclaré Sophos, faisant référence à l’opération policière menée plus tôt cette semaine qui prétendait détruire l’infrastructure de LockBit.
Christopher Budd, directeur de la recherche sur les menaces chez Sophos X-Ops, a déclaré par courrier électronique à TechCrunch que les observations de l’entreprise montrent que « ScreenConnect était le début de la chaîne d’exécution observée et que la version de ScreenConnect utilisée était vulnérable ».
Max Rogers, directeur principal des opérations contre les menaces chez Huntress, a déclaré à TechCrunch que la société de cybersécurité avait également observé le déploiement du ransomware LockBit dans des attaques exploitant la vulnérabilité ScreenConnect.
Rogers a déclaré que Huntress avait vu le ransomware LockBit déployé sur les systèmes de clients couvrant une gamme de secteurs, mais a refusé de nommer les clients concernés.
L’infrastructure du ransomware LockBit a été saisie plus tôt cette semaine dans le cadre d’une vaste opération internationale d’application de la loi menée par la National Crime Agency du Royaume-Uni. L’opération a détruit les sites Web publics de LockBit, y compris son site de fuite sur le Web sombre, que le gang utilisait pour publier les données volées aux victimes. Le site de fuite héberge désormais des informations découvertes par l’opération dirigée par le Royaume-Uni, exposant les capacités et les opérations de LockBit.
L’action, connue sous le nom d’« Opération Cronos », a également vu le démantèlement de 34 serveurs en Europe, au Royaume-Uni et aux États-Unis, la saisie de plus de 200 portefeuilles de crypto-monnaie et l’arrestation de deux membres présumés de LockBit en Pologne et en Ukraine.
« Nous ne pouvons pas attribuer [the ransomware attacks abusing the ConnectWise flaws] directement au groupe LockBit plus large, mais il est clair que LockBit a une large portée qui s’étend des outils, de divers groupes affiliés et de ramifications qui n’ont pas été complètement effacées même avec le retrait majeur des forces de l’ordre », a déclaré Rogers à TechCrunch par e-mail.
Lorsqu’on lui a demandé si le déploiement de ransomwares était quelque chose que ConnectWise observait également en interne, Patrick Beggs, responsable de la sécurité de l’information de ConnectWise, a déclaré à TechCrunch que « ce n’est pas quelque chose que nous constatons aujourd’hui ».
On ne sait pas combien d’utilisateurs de ConnectWise ScreenConnect ont été touchés par cette vulnérabilité, et ConnectWise a refusé de fournir des chiffres. Le site Web de l’entreprise affirme que l’organisation fournit sa technologie d’accès à distance à plus d’un million de petites et moyennes entreprises.
Selon la Shadowserver Foundation, une organisation à but non lucratif qui rassemble et analyse des données sur les activités malveillantes sur Internet, les failles de ScreenConnect sont « largement exploitées ». L’organisation à but non lucratif a déclaré jeudi dans un post sur Xanciennement Twitter, a jusqu’à présent observé 643 adresses IP exploitant ces vulnérabilités, ajoutant que plus de 8 200 serveurs restent vulnérables.