Criminelen gebruiken een kritieke kwetsbaarheid in ConnectWise ScreenConnect om de LockBit-ransomware te verspreiden, zo melden securitybedrijven. Volgens de Shadowserver Foundation zijn nog ruim achtduizend kwetsbare ScreenConnect-servers op internet te vinden. ScreenConnect is software om systemen op afstand mee te beheren en monitoren.

Een kritieke kwetsbaarheid in de software (CVE-2024-1709) maakt het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare systemen op afstand volledig over te nemen. Vervolgens kan een aanvaller alle systemen die via de server worden beheerd en gemonitord aanvallen. Antivirusbedrijf Sophos meldt dat aanvallers het beveiligingslek onder andere gebruiken voor het verspreiden van de LockBit-ransomware.

Deze week werden tijdens een internationale politieoperatie tientallen servers van de ransomwaregroep in beslag genomen. De criminelen achter de ransomware zijn echter nog op vrije voeten en ook de ransomware zelf is nog beschikbaar. LockBit wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden.

Volgens Sophos laten de aanvallen zien dat, ondanks de politieoperatie, het erop lijkt dat sommige LockBit-partners nog steeds operationeel zijn. Ook securitybedrijf Huntress meldt dat het ScreenConnect-lek wordt gebruikt voor de verspreiding van de LockBit-ransomware. Onder andere lokale overheden en gezondheidsklinieken zijn slachtoffer geworden. Naast ransomware worden kwetsbare systemen ook met andere malware geïnfecteerd. Updates zijn inmiddels beschikbaar, maar de Shadowserver Foundation laat weten dat op internet nog 8200 kwetsbare systemen zijn te vinden.