Dos días después de que un equipo internacional de autoridades asestara un duro golpe a LockBit, uno de los sindicatos de ransomware más prolíficos de Internet, los investigadores detectaron una nueva ronda de ataques que están instalando malware asociado con el grupo.
Los ataques, detectados en las últimas 24 horas, están explotando dos vulnerabilidades críticas en Conexión de pantalla, una aplicación de escritorio remoto vendida por Connectwise. Según investigadores de dos empresas de seguridad, SophosXOps y Huntress, los atacantes que explotan con éxito las vulnerabilidades instalan el ransomware LockBit y otro malware posterior a la explotación. No quedó claro de inmediato si el ransomware era la versión oficial de LockBit.
“No podemos nombrar públicamente a los clientes en este momento, pero podemos confirmar que el malware que se está implementando está asociado con LockBit, lo cual es particularmente interesante en el contexto de la reciente eliminación de LockBit”, escribió John Hammond, investigador principal de seguridad de Huntress, en un correo electrónico. “Si bien no podemos atribuir esto directamente al grupo LockBit más grande, está claro que LockBit tiene un gran alcance que abarca herramientas, varios grupos afiliados y ramificaciones que no han sido completamente borradas ni siquiera con la importante eliminación por parte de las fuerzas del orden”.
Hammond dijo que el ransomware se está implementando en “oficinas veterinarias, clínicas de salud y gobiernos locales (incluidos ataques contra sistemas relacionados con los sistemas 911)”.
Enturbiando las aguas de la atribución
SophosXOps y Huntress no dijeron si el ransomware que se está instalando es la versión oficial de LockBit o una versión filtrado por un informante descontento de LockBit en 2022. El constructor filtrado ha circulado ampliamente desde entonces y ha desencadenado una serie de ataques de imitación que no forman parte de la operación oficial.
“Cuando se filtran compilaciones, también se pueden enturbiar las aguas con respecto a la atribución”, investigadores de la firma de seguridad Trend Micro. dijo el jueves. “Por ejemplo, en agosto de 2023, observamos un grupo que se hacía llamar grupo Flamingo usando una carga útil LockBit filtrada incluida con el ladrón Rhadamanthys. En noviembre de 2023, encontramos otro grupo, llamado Spacecolon, que se hacía pasar por LockBit. El grupo utilizó direcciones de correo electrónico y URL que daban a las víctimas la impresión de que estaban tratando con LockBit”.
SophosXOps dicho sólo que había “observado varios ataques LockBit”. Un portavoz de la empresa dijo que no había más detalles disponibles. Hammond dijo que el malware estaba “asociado” con el grupo de ransomware y no pudo confirmar de inmediato si el malware era la versión oficial o una imitación.
Los ataques se producen dos días después de que funcionarios del Reino Unido, Estados Unidos y Europol anunciaran una interrupción importante de LockBit. La acción incluyó tomar el control de 14.000 cuentas y 34 servidores, arrestar a dos sospechosos y emitir cinco acusaciones y tres órdenes de arresto. Las autoridades también congelaron 200 cuentas de criptomonedas vinculadas a la operación de ransomware. Las acciones se produjeron después de que los investigadores piratearan y tomaran el control de la infraestructura de LockBit.
Las autoridades dijeron que LockBit ha extorsionado más de 120 millones de dólares a miles de víctimas en todo el mundo, lo que lo convierte en uno de los grupos de ransomware más activos del mundo. Como la mayoría de los otros grupos de ransomware, LockBit opera bajo un modelo de ransomware como servicio, en el que los afiliados comparten los ingresos que generan a cambio de utilizar la infraestructura y el ransomware LockBit.
Dado el gran número de afiliados y su amplia distribución geográfica y organizacional, a menudo no es factible neutralizarlos a todos en acciones como la anunciada el martes. Es posible que algunos afiliados sigan operativos y quieran indicar que la franquicia de ransomware continuará de una forma u otra. También es posible que las infecciones que están viendo SophosXOps y Huntress sean obra de un grupo de actores no afiliados con otras motivaciones.
Además de instalar el ransomware asociado a LockBit, dijo Hammond, los atacantes están instalando otras aplicaciones maliciosas, incluida una puerta trasera conocida como Cobalt Strike, mineros de criptomonedas y túneles SSH para conectarse de forma remota a la infraestructura comprometida.
Las vulnerabilidades de ScreenConnect están bajo explotación masiva y se rastrean como CVE-2024-1708 y CVE-2024-1709. ConnectWise ha puesto a disposición parches para todas las versiones vulnerables, incluidas aquellas que ya no reciben soporte activo.