Il 19 febbraio 2024, ConnectWise ha rilasciato un avviso di sicurezza per il suo software di monitoraggio e gestione remota (RMM). L’avviso evidenzia due vulnerabilità che hanno un impatto sulle versioni precedenti di ScreenConnect e che sono state mitigate nella versione 23.9.8 e successive. ConnectWise dichiara che queste vulnerabilità sono classificate come “vulnerabilità critiche che potrebbero consentire l’esecuzione di codice remoto o l’impatto diretto su dati riservati o sistemi critici”.
Le vulnerabilità possono interessare sia il server ScreenConnect che il software client ScreenConnect, in modi diversi. Gli autori dell’attacco hanno scoperto che possono distribuire malware ai server o alle workstation con il software client installato. Sophos ha le prove che sono in corso attacchi sia contro i server che contro i computer client. La patch del server non rimuoverà il malware o le webshell che gli aggressori sono riusciti a distribuire prima della patch e gli ambienti compromessi devono essere indagati.
Il 21 febbraio 2024 è stato rilasciato su GitHub un codice proof of concept (PoC) che sfrutta queste vulnerabilità e aggiunge un nuovo utente al sistema compromesso. ConnectWise ha anche aggiornato il suo rapporto iniziale per includere lo sfruttamento attivo e osservato di queste vulnerabilità.
Il 22 febbraio 2024, Sophos X-Ops ha comunicato attraverso i suoi social media che, nonostante la recente attività delle forze dell’ordine contro il gruppo di attori della minaccia LockBit, nelle 24 ore precedenti abbiamo osservato diversi attacchi che sembravano essere eseguiti con il ransomware LockBit, costruito utilizzando uno strumento di creazione di malware trapelato. Sembra che il nostro rilevamento basato sulle firme abbia identificato correttamente i payload come ransomware generati dal builder LockBit trapelato, ma le note di riscatto rilasciate da questi payload ne identificavano uno come “buhtiRansom” e l’altro non aveva un nome nella nota di riscatto.
“Nelle ultime 48 ore abbiamo assistito a diversi attacchi che coinvolgono ScreenConnect. Il più degno di nota è stato un malware costruito utilizzando lo strumento di creazione di ransomware LockBit 3 trapelato nel 2022: è possibile che questo non abbia avuto origine dagli sviluppatori di LockBit. Ma sono in circolazione anche RATS, infostealer, ruba password e altri ransomware. Tutto ciò dimostra che sono molteplici i cybercriminali stanno prendendo di mira ScreenConnect”, ha dichiarato Christopher Budd, director, Sophos X-Ops Threat Research. Chiunque utilizzi ScreenConnect dovrebbe adottare misure per isolare immediatamente i server e i client vulnerabili, applicare patch e verificare la presenza di eventuali segni di compromissione. Sophos ha a disposizione un’ampia guida e il materiale di threat hunting di Sophos X-Ops. Stiamo continuando le nostre indagini e faremo aggiornamenti se necessario”.
L’analisi completa è disponibile qui
