Các nhóm ransomware Black Basta, Bl00dy khai thác lỗ hổng ScreenConnect

Các chuyên gia phát hiện nhóm ransomware Black Basta và Bl00dy tham gia các cuộc tấn công nhắm vào máy chủ ScreenConnect tồn tại lỗ hổng.

Lỗ hổng bị khai thác có mã theo dõi CVE-2024-1709, cho phép kẻ tấn công tạo tài khoản quản trị viên trên các máy chủ có kết nối Internet, xóa tất cả người dùng khác và kiểm soát các phiên bản bị ảnh hưởng.

CVE-2024-1709 đã bị khai thác thực tế từ 20/2, một ngày sau khi ConnectWise phát hành các bản cập nhật an ninh và PoC lỗ hổng được công bố.

CISA đã thêm CVE-2024-1709 vào Danh mục các lỗ hổng bị khai thác đã biết, yêu cầu các cơ quan liên bang Hoa Kỳ bảo mật máy chủ trước 29/2.

Shadowserver cho biết CVE-2024-1709 hiện bị khai thác rộng rãi trong các cuộc tấn công. Trong khi đó, Shodan phát hiện hơn 10.000 máy chủ ScreenConnect, chỉ 1.559 máy chủ chạy phiên bản ScreenConnect 23.9.8 đã vá lỗi.

Trend Micro cho biết các nhóm ransomware Black Basta và Bl00dy đã bắt đầu khai thác các lỗ hổng ScreenConnect để truy cập ban đầu và tạo backdoor trên mạng của nạn nhân.

Nguồn: Bleeping Computer