本文来自微信公众号“嘶吼专业版”,作者/山卡拉。
距离对勒索软件集团LockBit进行重大打击的两天后,研究人员又发现了新一轮的攻击,这些攻击正在安装与该组织相关的恶意软件。
这些攻击是在过去24小时内检测到的,利用了Connectwise销售的远程桌面应用程序——ScreenConnect中的两个关键漏洞。
据SophosXOps和Huntress两家安全公司的研究人员称,成功利用这些漏洞的攻击者会继续安装LockBit勒索软件和其他利用后恶意软件。目前尚不清楚该勒索软件是否为LockBit官方版本。
Huntress的首席安全研究员John Hammond在电子邮件中写道:“我们暂时无法公开透露客户的姓名,但可以确认当前部署的恶意软件与LockBit有关。”
很难查明的原因
SophosXOps和Huntress没有透露正在安装的勒索软件是官方LockBit版本还是由2022年LockBit内部人泄露的版本。自那时以来,泄露的架构程序已广泛传播,并引发了一系列非官方操作的模仿攻击。
安全公司Trend Micro的研究人员表示:“当架构被泄露时,可能会让溯源变得更加困难。例如,2023年8月,我们观察到一个自称为Flamingo组织的团体使用泄露的LockBit载荷,与Rhadamanthys stealer捆绑在一起。2023年11月,我们发现另一组织,自称为Spacecolon,冒充LockBit。该组织使用的电子邮件地址和URL使受害者误以为是在与LockBit打交道。”
SophosXOps表示他观察到了几次LockBit攻击,但目前没有其他详细信息。Hammond也表示,该恶意软件与勒索软件组织“有关联”,无法立即确认该恶意软件是官方版本还是山寨版。
这次攻击发生在英国、美国和欧洲刑警宣布成功重创LockBit之后的两天。此次行动包括夺取了14000个账户和34台服务器的控制权,逮捕了两名嫌疑人,并发布了五项起诉书和三份逮捕令,还冻结了与勒索软件操作相关的200个加密货币账户。
这些行动是在调查人员侵入并控制了LockBit基础设施之后进行的。
有关部门表示,LockBit作为全球最活跃的勒索软件团体之一,从全球数千名受害者中勒索了超过1.2亿美元。与大多数其他勒索软件团体一样,LockBit采用勒索软件即服务模式运作,附属团体分享他们通过使用LockBit勒索软件和基础设施产生的收入。
鉴于附属团体的庞大数量以及它们广泛分布于各个组织领域,往往不太可能全部被消除,有可能一些附属团体仍然在运作。
除了安装与LockBit相关的勒索软件外,Hammond表示,攻击者还安装了几个其他恶意应用,包括一个被称为Cobalt Strike的后门、加密货币挖矿器以及用于远程连接到受损基础设施的SSH隧道。
ScreenConnect漏洞正在大规模利用,并被标识为CVE-2024-1708和CVE-2024-1709。ConnectWise已为所有受影响版本提供了补丁。