최고 수준의 인증 우회 취약점을 이용한 공격자들이 패치되지 않은 ScreenConnect 서버를 침해하고, LockBit 랜섬웨어를 배포하고 있습니다. 이 취약점(CVE-2024-1709)은 ConnectWise가 보안 업데이트를 발표하고 여러 사이버 보안 회사가 개념 증명 공격을 공개한 다음날인 화요일부터 활발하게 악용되고 있습니다. 또한, ConnectWise는 높은 권한을 가진 위협 행위자만이 악용할 수 있는 고위험 경로 이동 취약점(CVE-2024-1708)도 패치했습니다.
오늘 Sophos X-Ops는 위협 행위자들이 이 두 가지 ScreenConnect 취약점을 대상으로 한 공격을 이용해 피해자의 시스템에 LockBit 랜섬웨어를 배포하고 있다고 밝혔습니다. 또한, 사이버 보안 회사 Huntress는 "지방 정부, 그리고 911 시스템에 연결된 시스템"과 "의료 클리닉"이 CVE-2024-1709 취약점을 이용한 LockBit 랜섬웨어 공격자의 공격을 받았다고 확인했습니다.
LockBit 랜섬웨어의 인프라는 이번 주에 영국의 국가 범죄 대응국(NCA)이 주도한 'Operation Cronos'라는 이름의 글로벌 법 집행 작전을 통해 압수되었습니다. 이 작전의 일환으로 일본의 국가 경찰청은 LockBit의 압수된 서버에서 회수한 1,000개 이상의 복호화 키를 사용하여 무료 LockBit 3.0 Black Ransomware 복호화 도구를 개발하고 'No More Ransom' 포털에 공개했습니다.
요약
- 공격자들이 ScreenConnect 서버의 인증 우회 취약점을 이용하여 LockBit 랜섬웨어를 배포하고 있다.
- Sophos X-Ops와 Huntress는 이 취약점을 이용한 공격이 활발하게 이루어지고 있음을 확인하였다.
- LockBit 랜섬웨어의 인프라는 'Operation Cronos'라는 글로벌 법 집행 작전을 통해 압수되었다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.