Operadores de ransomware Fog e Akira estão cada vez mais violando redes corporativas através de contas SonicWall VPN, com os atores de ameaça acreditando-se que estejam explorando a
CVE-2024-40766
, uma falha crítica de controle de acesso SSL VPN.
A SonicWall corrigiu a falha do SonicOS no final de agosto de 2024, e aproximadamente uma semana depois, alertou que já estava sob exploração ativa.
Ao mesmo tempo, pesquisadores de segurança da Arctic Wolf reportaram ter visto afiliados do ransomware Akira explorando a falha para ganhar acesso inicial às redes das vítimas.
Um novo relatório da Arctic Wolf adverte que Akira e a operação de ransomware Fog conduziram pelo menos 30 intrusões que começaram todas com acesso remoto a uma rede através de contas SonicWall VPN.
Desses casos, 75% estão ligados ao Akira, com o restante atribuído às operações de ransomware Fog.
Interessantemente, os dois grupos de ameaças parecem compartilhar infraestrutura, o que mostra a continuação de uma colaboração não oficial entre os dois, conforme documentado anteriormente pela Sophos.
Embora os pesquisadores não estejam 100% certos de que a falha foi usada em todos os casos, todos os endpoints violados eram vulneráveis a ela, rodando uma versão mais antiga e sem atualização.
Na maioria dos casos, o tempo da intrusão até a criptografia de dados foi curto, cerca de dez horas, chegando até a 1.5-2 horas nas ocasiões mais rápidas.
Em muitos desses ataques, os atores de ameaças acessaram o endpoint via VPN/VPS, ofuscando seus reais endereços IP.
A Arctic Wolf observa que, além de operar endpoints sem atualização, as organizações comprometidas não pareciam ter ativado a autenticação multi-factor nas contas SSL VPN comprometidas e rodavam seus serviços na porta padrão 4433.
"Em intrusões onde logs de firewall foram capturados, mensagem de ID de evento 238 (login de usuário remoto na zona WAN permitido) ou mensagem de ID de evento 1080 (login de usuário remoto na zona SSL VPN permitido) foram observadas," explica a Arctic Wolf.
Após uma dessas mensagens, houve várias mensagens de log SSL VPN INFO (ID de evento 1079) indicando que o login e a atribuição de IP foram completados com sucesso.
Nos estágios subsequentes, os atores de ameaças engajaram-se em ataques de criptografia rápidos, visando principalmente máquinas virtuais e seus backups.
O roubo de dados dos sistemas violados envolveu documentos e software proprietário, mas os atores de ameaças não se incomodaram com arquivos que tinham mais de seis meses, ou 30 meses de idade para arquivos mais sensíveis.
Lançado em maio de 2024, o ransomware Fog é uma operação em crescimento cujos afiliados tendem a usar credenciais VPN comprometidas para acesso inicial.
Akira, um jogador muito mais estabelecido no espaço do ransomware, recentemente teve problemas de acesso ao site Tor, mas esses estão gradualmente voltando online agora.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...