信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/山卡拉。

距離對勒索軟件集團(tuán)LockBit進(jìn)行重大打擊的兩天后，研究人員又發(fā)現(xiàn)了新一輪的攻擊，這些攻擊正在安裝與該組織相關(guān)的惡意軟件。

這些攻擊是在過去24小時內(nèi)檢測到的，利用了Connectwise銷售的遠(yuǎn)程桌面應(yīng)用程序——ScreenConnect中的兩個關(guān)鍵漏洞。

據(jù)SophosXOps和Huntress兩家安全公司的研究人員稱，成功利用這些漏洞的攻擊者會繼續(xù)安裝LockBit勒索軟件和其他利用后惡意軟件。目前尚不清楚該勒索軟件是否為LockBit官方版本。

Huntress的首席安全研究員John Hammond在電子郵件中寫道：“我們暫時無法公開透露客戶的姓名，但可以確認(rèn)當(dāng)前部署的惡意軟件與LockBit有關(guān)。”

很難查明的原因

SophosXOps和Huntress沒有透露正在安裝的勒索軟件是官方LockBit版本還是由2022年LockBit內(nèi)部人泄露的版本。自那時以來，泄露的架構(gòu)程序已廣泛傳播，并引發(fā)了一系列非官方操作的模仿攻擊。

安全公司Trend Micro的研究人員表示：“當(dāng)架構(gòu)被泄露時，可能會讓溯源變得更加困難。例如，2023年8月，我們觀察到一個自稱為Flamingo組織的團(tuán)體使用泄露的LockBit載荷，與Rhadamanthys stealer捆綁在一起。2023年11月，我們發(fā)現(xiàn)另一組織，自稱為Spacecolon，冒充LockBit。該組織使用的電子郵件地址和URL使受害者誤以為是在與LockBit打交道。”

SophosXOps表示他觀察到了幾次LockBit攻擊，但目前沒有其他詳細(xì)信息。Hammond也表示，該惡意軟件與勒索軟件組織“有關(guān)聯(lián)”，無法立即確認(rèn)該惡意軟件是官方版本還是山寨版。

這次攻擊發(fā)生在英國、美國和歐洲刑警宣布成功重創(chuàng)LockBit之后的兩天。此次行動包括奪取了14000個賬戶和34臺服務(wù)器的控制權(quán)，逮捕了兩名嫌疑人，并發(fā)布了五項起訴書和三份逮捕令，還凍結(jié)了與勒索軟件操作相關(guān)的200個加密貨幣賬戶。

這些行動是在調(diào)查人員侵入并控制了LockBit基礎(chǔ)設(shè)施之后進(jìn)行的。

有關(guān)部門表示，LockBit作為全球最活躍的勒索軟件團(tuán)體之一，從全球數(shù)千名受害者中勒索了超過1.2億美元。與大多數(shù)其他勒索軟件團(tuán)體一樣，LockBit采用勒索軟件即服務(wù)模式運作，附屬團(tuán)體分享他們通過使用LockBit勒索軟件和基礎(chǔ)設(shè)施產(chǎn)生的收入。

鑒于附屬團(tuán)體的龐大數(shù)量以及它們廣泛分布于各個組織領(lǐng)域，往往不太可能全部被消除，有可能一些附屬團(tuán)體仍然在運作。

除了安裝與LockBit相關(guān)的勒索軟件外，Hammond表示，攻擊者還安裝了幾個其他惡意應(yīng)用，包括一個被稱為Cobalt Strike的后門、加密貨幣挖礦器以及用于遠(yuǎn)程連接到受損基礎(chǔ)設(shè)施的SSH隧道。

ScreenConnect漏洞正在大規(guī)模利用，并被標(biāo)識為CVE-2024-1708和CVE-2024-1709。ConnectWise已為所有受影響版本提供了補(bǔ)丁。