Ataques do ransomware Akira contra dispositivos SonicWall SSL VPN continuam evoluindo, com os invasores conseguindo acessar contas mesmo quando a autenticação multi-factor (MFA) via one-time password (OTP) está ativada.
Pesquisadores suspeitam que isso ocorre por meio do uso de seeds de OTP previamente roubados, embora o método exato ainda não tenha sido confirmado.
Em julho, o site BleepingComputer reportou que a operação do ransomware Akira explorava dispositivos SonicWall SSL VPN para invadir redes corporativas.
Na ocasião, havia suspeita de uma falha zero-day sendo usada para comprometer esses equipamentos.
No entanto, a SonicWall associou os ataques a uma vulnerabilidade de controle de acesso incorreto, identificada como
CVE-2024-40766
, divulgada em setembro de 2024.
Apesar de o patch ter sido lançado em agosto de 2024, os invasores continuaram utilizando credenciais roubadas anteriormente, mesmo após a aplicação das atualizações.
Após confirmar que as invasões estavam ligadas ao uso das credenciais roubadas por meio da
CVE-2024-40766
, a SonicWall recomendou que administradores alterassem todas as credenciais de acesso à SSL VPN e garantissem que o firmware SonicOS mais recente estivesse instalado nos dispositivos.
A empresa de cibersegurança Arctic Wolf agora reporta uma campanha contínua contra firewalls SonicWall, na qual os invasores conseguem se autenticar com sucesso mesmo com o OTP MFA ativo.
O relatório destaca que múltiplos desafios OTP foram solicitados durante as tentativas de login, seguidos por acessos bem-sucedidos.
Isso sugere que os criminosos podem ter comprometido as seeds de OTP ou encontrado algum método alternativo para gerar tokens válidos.
“SonicWall relaciona os logins maliciosos observados nessa campanha à
CVE-2024-40766
, uma vulnerabilidade de controle de acesso incorreto identificada há um ano”, explica a Arctic Wolf.
“Nesse contexto, as credenciais podem ter sido coletadas de dispositivos vulneráveis à
CVE-2024-40766
e depois reutilizadas pelos invasores, mesmo após a correção.
Na campanha atual, eles conseguem autenticar com sucesso em contas protegidas por MFA de OTP.”
Embora não esteja claro como os afiliados do Akira estão conseguindo autenticar em contas MFA, um relatório separado do Google Threat Intelligence Group, de julho, descreveu um abuso semelhante em VPNs SonicWall.
Nesse outro ataque, um grupo com motivação financeira identificado como UNC6148 usou o rootkit OVERSTEP em appliances da série SMA 100, aplicando o que acreditam serem seeds de OTP roubadas anteriormente, o que permitiu o acesso mesmo após a aplicação dos patches.
O Google acredita que os invasores utilizavam seeds de one-time password obtidas em ataques zero-day anteriores, mas não identificou qual CVE foi explorada.
“O Grupo de Inteligência de Ameaças do Google (GTIG) identificou uma campanha ativa por um ator financeiro suspeito, rastreado como UNC6148, focado em appliances end-of-life da série SonicWall Secure Mobile Access (SMA) 100, mesmo totalmente corrigidos”, alertou o Google.
“O GTIG avalia com alta confiança que o UNC6148 está usando credenciais e seeds de OTP roubados em intrusões anteriores, o que lhes permite recuperar acesso mesmo após a aplicação das atualizações de segurança.”
Uma vez dentro da rede, a Arctic Wolf destaca que o Akira age rapidamente, chegando a escanear a rede interna em até cinco minutos.
Os invasores também utilizam requisições Impacket SMB para estabelecer sessões, logins RDP e fazem enumeração de objetos no Active Directory com ferramentas como dsquery, SharpShares e BloodHound.
O foco principal é nos servidores Veeam Backup & Replication, onde um script PowerShell customizado é usado para extrair e descriptografar credenciais armazenadas do MSSQL e PostgreSQL, incluindo segredos protegidos pelo DPAPI.
Para burlar softwares de segurança, os afiliados realizam um ataque do tipo Bring-Your-Own-Vulnerable-Driver (BYOVD), aproveitando o executável legítimo da Microsoft, consent.exe, para carregar DLLs maliciosas que, por sua vez, carregam drivers vulneráveis (rwdrv.sys, churchill_driver.sys).
Esses drivers permitem desabilitar processos de proteção nos endpoints, facilitando a execução do ransomware sem ser bloqueado.
O relatório destaca que alguns desses ataques afetaram dispositivos rodando o SonicOS 7.3.0, versão recomendada pela SonicWall para mitigar os ataques que exploram credenciais.
Por fim, os administradores são fortemente aconselhados a redefinir todas as credenciais VPN em qualquer dispositivo que já tenha usado firmware vulnerável, pois, mesmo atualizado, existem riscos de invasores continuarem acessando redes corporativas por meio de contas roubadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...