Οι φορείς εκμετάλλευσης ransomware της Fog και της Akira παραβιάζουν ολοένα και περισσότερο τα εταιρικά δίκτυα μέσω των λογαριασμών VPN SonicWall, με τους φορείς απειλών που πιστεύεται ότι εκμεταλλεύονται το CVE-2024-40766, ένα κρίσιμο ελάττωμα ελέγχου πρόσβασης SSL VPN.
Η SonicWall διόρθωσε το ελάττωμα του SonicOS στα τέλη Αυγούστου 2024 και περίπου μια εβδομάδα αργότερα, προειδοποίησε ότι ήταν ήδη υπό ενεργή εκμετάλλευση.
Την ίδια στιγμή, ερευνητές ασφαλείας Arctic Wolf ανέφεραν ότι είδαν θυγατρικές του Akira ransomware να αξιοποιούν το ελάττωμα για να αποκτήσουν αρχική πρόσβαση στα δίκτυα θυμάτων.
ΕΝΑ νέα έκθεση του Arctic Wolf προειδοποιεί ότι το Akira και η λειτουργία ransomware Fog έχουν πραγματοποιήσει τουλάχιστον 30 εισβολές που ξεκίνησαν με απομακρυσμένη πρόσβαση σε ένα δίκτυο μέσω λογαριασμών SonicWall VPN.
Από αυτές τις περιπτώσεις, το 75% συνδέεται με το Akira, με τις υπόλοιπες να αποδίδονται σε λειτουργίες ransomware Fog.
Είναι ενδιαφέρον ότι οι δύο ομάδες απειλών φαίνεται να μοιράζονται υποδομές, γεγονός που δείχνει τη συνέχιση μιας ανεπίσημης συνεργασίας μεταξύ των δύο, όπως είχε τεκμηριωθεί προηγουμένως από το Sophos.
Αν και οι ερευνητές δεν είναι 100% θετικοί ότι το ελάττωμα χρησιμοποιήθηκε σε όλες τις περιπτώσεις, όλα τα παραβιασμένα τελικά σημεία ήταν ευάλωτα σε αυτό, εκτελώντας μια παλαιότερη, μη επιδιορθωμένη έκδοση.
Στις περισσότερες περιπτώσεις, ο χρόνος από την εισβολή έως την κρυπτογράφηση δεδομένων ήταν σύντομος, περίπου δέκα ώρες, φτάνοντας ακόμη και τις 1,5-2 ώρες στις πιο γρήγορες περιπτώσεις.
Σε πολλές από αυτές τις επιθέσεις, οι παράγοντες απειλής είχαν πρόσβαση στο τελικό σημείο μέσω VPN/VPS, θολώνοντας τις πραγματικές τους διευθύνσεις IP.
Ο Arctic Wolf σημειώνει ότι εκτός από τη λειτουργία μη επιδιορθωμένων τελικών σημείων, οι παραβιασμένοι οργανισμοί δεν φαίνεται να έχουν ενεργοποιήσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων στους παραβιασμένους λογαριασμούς SSL VPN και να εκτελούν τις υπηρεσίες τους στην προεπιλεγμένη θύρα 4433.
«Σε εισβολές όπου καταγράφηκαν αρχεία καταγραφής τείχους προστασίας, παρατηρήθηκε το αναγνωριστικό συμβάντος μηνύματος 238 (επιτρέπεται η απομακρυσμένη σύνδεση χρήστη ζώνης WAN) ή το αναγνωριστικό συμβάντος μηνύματος 1080 (επιτρέπεται η απομακρυσμένη σύνδεση χρήστη ζώνης SSL VPN)», εξηγεί ο Artic Wolf.
“Μετά από ένα από αυτά τα μηνύματα, υπήρχαν πολλά μηνύματα αρχείου καταγραφής SSL VPN INFO (αναγνωριστικό συμβάντος 1079) που υποδεικνύουν ότι η σύνδεση και η εκχώρηση IP ολοκληρώθηκαν με επιτυχία.”
Στα επόμενα στάδια, οι φορείς απειλών συμμετείχαν σε επιθέσεις ταχείας κρυπτογράφησης που στοχεύουν κυρίως εικονικές μηχανές και τα αντίγραφα ασφαλείας τους.
Η κλοπή δεδομένων από παραβιασμένα συστήματα περιελάμβανε έγγραφα και αποκλειστικό λογισμικό, αλλά οι φορείς απειλών δεν ασχολήθηκαν με αρχεία που ήταν παλαιότερα των έξι μηνών ή 30 μηνών για πιο ευαίσθητα αρχεία.
Το Fog ransomware, το οποίο κυκλοφόρησε τον Μάιο του 2024, είναι μια αναπτυσσόμενη επιχείρηση, της οποίας οι θυγατρικές τείνουν να χρησιμοποιούν παραβιασμένα διαπιστευτήρια VPN για αρχική πρόσβαση.
Ο Akira, ένας πολύ πιο εδραιωμένος παίκτης στον χώρο του ransomware, είχε πρόσφατα προβλήματα πρόσβασης στον ιστότοπο Tor, όπως παρατηρήθηκε από το BleepingComputer, αλλά αυτά επιστρέφουν σταδιακά στο διαδίκτυο τώρα.
VIA: bleepingcomputer.com
