Las grupos de ransomware Black Basta y Bl00dy han sumado sus esfuerzos a los ataques masivos dirigidos a los servidores ScreenConnect que cuentan con una grave falla de omisión de autenticación.

Esta vulnerabilidad crítica identificada como CVE-2024-1709, está siendo ampliamente explotada en ataques, con numerosas IP dirigidas a servidores expuestos en línea (más de 10.000 servidores ScreenConnect, de los cuales solo 1.559 ejecutan la versión parcheada 23.9.8).

Esta falla habilita a los atacantes para establecer cuentas de administrador en servidores accesibles desde Internet, eliminar a todos los otros usuarios y obtener el control total sobre cualquier instancia vulnerable.

ConnectWise también abordó una vulnerabilidad identificada como CVE-2024-1708, la cual solo podría ser explotada por actores de amenazas con altos privilegios.

Con el fin de proteger los servidores de los ataques continuos, la compañía eliminó todas las restricciones de licencia, permitiendo que los clientes con licencias vencidas actualicen sus servidores, dado que estos dos errores de seguridad afectan a todas las versiones de ScreenConnect.

Trend Micro ha descubierto que las bandas de ransomware Black Basta y Bl00dy también están utilizando las vulnerabilidades de ScreenConnect para obtener acceso inicial y establecer backdoors en las redes de las víctimas mediante web shell. Además, identificó actividad de reconocimiento, descubrimiento y escalada de privilegios luego de que los atacantes obtuvieron acceso a la red, utilizando Cobalt Strike asociadas con Black Basta, que se estaban desplegando en los sistemas comprometidos.

Por otro lado, Bl00dy Ransomware empleaba cargas útiles creadas con los constructores Conti y LockBit Black, aunque sus notas de rescate los identificaban como parte de la operación Bl00dy. También , observaron la implementación de XWorm Malware, que combina funcionalidades de troyano de acceso remoto (RAT) y Ransomware.

Fuente:

Black Basta, Bl00dy ransomware gangs join ScreenConnect attacks