Ransomwares exploram vulnerabilidade SonicWall
28 de Outubro de 2024

Operadores de ransomware Fog e Akira estão cada vez mais violando redes corporativas através de contas SonicWall VPN, com os atores de ameaça acreditando-se que estejam explorando a CVE-2024-40766 , uma falha crítica de controle de acesso SSL VPN.

A SonicWall corrigiu a falha do SonicOS no final de agosto de 2024, e aproximadamente uma semana depois, alertou que já estava sob exploração ativa.

Ao mesmo tempo, pesquisadores de segurança da Arctic Wolf reportaram ter visto afiliados do ransomware Akira explorando a falha para ganhar acesso inicial às redes das vítimas.

Um novo relatório da Arctic Wolf adverte que Akira e a operação de ransomware Fog conduziram pelo menos 30 intrusões que começaram todas com acesso remoto a uma rede através de contas SonicWall VPN.

Desses casos, 75% estão ligados ao Akira, com o restante atribuído às operações de ransomware Fog.

Interessantemente, os dois grupos de ameaças parecem compartilhar infraestrutura, o que mostra a continuação de uma colaboração não oficial entre os dois, conforme documentado anteriormente pela Sophos.

Embora os pesquisadores não estejam 100% certos de que a falha foi usada em todos os casos, todos os endpoints violados eram vulneráveis a ela, rodando uma versão mais antiga e sem atualização.

Na maioria dos casos, o tempo da intrusão até a criptografia de dados foi curto, cerca de dez horas, chegando até a 1.5-2 horas nas ocasiões mais rápidas.

Em muitos desses ataques, os atores de ameaças acessaram o endpoint via VPN/VPS, ofuscando seus reais endereços IP.

A Arctic Wolf observa que, além de operar endpoints sem atualização, as organizações comprometidas não pareciam ter ativado a autenticação multi-factor nas contas SSL VPN comprometidas e rodavam seus serviços na porta padrão 4433.

"Em intrusões onde logs de firewall foram capturados, mensagem de ID de evento 238 (login de usuário remoto na zona WAN permitido) ou mensagem de ID de evento 1080 (login de usuário remoto na zona SSL VPN permitido) foram observadas," explica a Arctic Wolf.

Após uma dessas mensagens, houve várias mensagens de log SSL VPN INFO (ID de evento 1079) indicando que o login e a atribuição de IP foram completados com sucesso.

Nos estágios subsequentes, os atores de ameaças engajaram-se em ataques de criptografia rápidos, visando principalmente máquinas virtuais e seus backups.

O roubo de dados dos sistemas violados envolveu documentos e software proprietário, mas os atores de ameaças não se incomodaram com arquivos que tinham mais de seis meses, ou 30 meses de idade para arquivos mais sensíveis.

Lançado em maio de 2024, o ransomware Fog é uma operação em crescimento cujos afiliados tendem a usar credenciais VPN comprometidas para acesso inicial.

Akira, um jogador muito mais estabelecido no espaço do ransomware, recentemente teve problemas de acesso ao site Tor, mas esses estão gradualmente voltando online agora.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...