SonicWall предупредила клиентов о необходимости отключить службы шифрования на межсетевых экранах седьмого поколения в связи с активным всплеском атак, направленных на ещё не выявленную уязвимость, затрагивающую критически важную службу межсетевого экрана. Компания сообщила в своём блоге , что число атак значительно возросло с пятницы .
Охотники за угрозами и специалисты по реагированию на инциденты из Arctic Wolf, Google и Huntress зафиксировали волну атак программ-вымогателей, начавшуюся еще 15 июля. Все больше доказательств указывают на то, что изначально вектором атаки была уязвимость нулевого дня, затрагивающая протокол VPN на основе защищенных сокетов (SSL).
«Финансово мотивированный злоумышленник активно взламывает среды жертв и внедряет программу-вымогатель Akira», — написал Чарльз Кармакал, технический директор Mandiant Consulting, во вторник в публикации на LinkedIn . «Скорость и масштаб взломов указывают на потенциальную уязвимость нулевого дня в межсетевых экранах SonicWall Gen 7».
SonicWall заявила, что продолжающееся расследование ещё не установило, связаны ли атаки с ранее обнаруженной уязвимостью или с уязвимостью нулевого дня. «Если новая уязвимость подтвердится, мы выпустим обновлённую прошивку и руководство как можно скорее», — сообщил CyberScoop Брет Фицджеральд, старший директор по глобальным коммуникациям SonicWall.
Исследователи из нескольких компаний по безопасности подтвердили, что злоумышленники проникали в сети клиентов и скомпрометировали их, даже в средах с включенной многофакторной аутентификацией.
Злоумышленники действуют быстро, в течение нескольких часов перенаправляясь непосредственно на контроллеры доменов и внедряя программы-вымогатели после короткого времени ожидания, говорится в сообщении Huntress об угрозах, опубликованном в понедельник. Компания сообщила, что зафиксировала около 20 атак, которые происходили практически ежедневно, начиная с 25 июля.
По словам Хантресс, методы, применяемые после взлома, включают в себя сочетание автоматизированных скриптов и ручного ввода данных с клавиатуры, предшествующего внедрению программы-вымогателя Akira. Это включает в себя использование привилегированных учётных записей для административного доступа, внедрение бэкдоров, скрытое проникновение для кражи учётных данных из нескольких баз данных и методичное отключение инструментов безопасности и брандмауэров.
Несколько злоумышленников получили доступ к внутренним сетям через устройства SonicWall. Несмотря на некоторые сходства между атаками, Huntress также отметила некоторые различия, что позволяет предположить, что в них могут быть вовлечены несколько группировок или злоумышленники адаптируются к ситуации, получая доступ.
Более поздние и продолжающиеся атаки нацелены на межсетевой экран нового поколения, в отличие от серии финансово мотивированных атак, совершенных в прошлом месяце и направленных на организации, использующие полностью обновленные, но устаревшие устройства SonicWall Secure Mobile Access серии 100. Половина эксплуатируемых уязвимостей из каталога CISA затрагивает устройства SonicWall SMA 100, включая три из четырех уязвимостей, активно эксплуатируемых в этом году.
Рекомендация SonicWall отключить SSLVPN на межсетевых экранах седьмого поколения, позволяющую пользователям устанавливать зашифрованные соединения с корпоративной сетью, подтверждает, что этому критически важному сервису нельзя доверять в выполнении его основного назначения. Многие организации требуют, чтобы сотрудники получали доступ к своей корпоративной сети через VPN.
SSLVPN компании SonicWall был корнем проблемы по крайней мере в трех активно эксплуатируемых уязвимостях из каталога известных эксплуатируемых уязвимостей CISA, включая CVE-2024-53704 , CVE-2023-44221 и CVE-2021-20016 .
В прошлом году Агентство по безопасности и сотрудничеству в Европе (CISA) сообщило в информационном бюллетене , что вирус-вымогатель Akira затронул более 250 организаций, заявив о выплате около 42 миллионов долларов в период с марта 2023 года по январь 2024 года. По словам официальных лиц, операторы Akira крадут данные и шифруют системы, прежде чем угрожать их публикацией. По данным ФБР, некоторые филиалы Akira также обращались к пострадавшим компаниям с просьбой оказать дополнительное давление.
Расследование первопричин атак и происхождения ответственных лиц продолжается.
Охотники за угрозами и специалисты по реагированию на инциденты из Arctic Wolf, Google и Huntress зафиксировали волну атак программ-вымогателей, начавшуюся еще 15 июля. Все больше доказательств указывают на то, что изначально вектором атаки была уязвимость нулевого дня, затрагивающая протокол VPN на основе защищенных сокетов (SSL).
«Финансово мотивированный злоумышленник активно взламывает среды жертв и внедряет программу-вымогатель Akira», — написал Чарльз Кармакал, технический директор Mandiant Consulting, во вторник в публикации на LinkedIn . «Скорость и масштаб взломов указывают на потенциальную уязвимость нулевого дня в межсетевых экранах SonicWall Gen 7».
SonicWall заявила, что продолжающееся расследование ещё не установило, связаны ли атаки с ранее обнаруженной уязвимостью или с уязвимостью нулевого дня. «Если новая уязвимость подтвердится, мы выпустим обновлённую прошивку и руководство как можно скорее», — сообщил CyberScoop Брет Фицджеральд, старший директор по глобальным коммуникациям SonicWall.
Исследователи из нескольких компаний по безопасности подтвердили, что злоумышленники проникали в сети клиентов и скомпрометировали их, даже в средах с включенной многофакторной аутентификацией.
Злоумышленники действуют быстро, в течение нескольких часов перенаправляясь непосредственно на контроллеры доменов и внедряя программы-вымогатели после короткого времени ожидания, говорится в сообщении Huntress об угрозах, опубликованном в понедельник. Компания сообщила, что зафиксировала около 20 атак, которые происходили практически ежедневно, начиная с 25 июля.
По словам Хантресс, методы, применяемые после взлома, включают в себя сочетание автоматизированных скриптов и ручного ввода данных с клавиатуры, предшествующего внедрению программы-вымогателя Akira. Это включает в себя использование привилегированных учётных записей для административного доступа, внедрение бэкдоров, скрытое проникновение для кражи учётных данных из нескольких баз данных и методичное отключение инструментов безопасности и брандмауэров.
Несколько злоумышленников получили доступ к внутренним сетям через устройства SonicWall. Несмотря на некоторые сходства между атаками, Huntress также отметила некоторые различия, что позволяет предположить, что в них могут быть вовлечены несколько группировок или злоумышленники адаптируются к ситуации, получая доступ.
SonicWall, рецидивист
Активная массовая эксплуатация брандмауэров SonicWall подчёркивает постоянный риск, с которым клиенты поставщика сталкиваются уже много лет. С конца 2021 года SonicWall включает 14 записей в каталоге известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры .Более поздние и продолжающиеся атаки нацелены на межсетевой экран нового поколения, в отличие от серии финансово мотивированных атак, совершенных в прошлом месяце и направленных на организации, использующие полностью обновленные, но устаревшие устройства SonicWall Secure Mobile Access серии 100. Половина эксплуатируемых уязвимостей из каталога CISA затрагивает устройства SonicWall SMA 100, включая три из четырех уязвимостей, активно эксплуатируемых в этом году.
Рекомендация SonicWall отключить SSLVPN на межсетевых экранах седьмого поколения, позволяющую пользователям устанавливать зашифрованные соединения с корпоративной сетью, подтверждает, что этому критически важному сервису нельзя доверять в выполнении его основного назначения. Многие организации требуют, чтобы сотрудники получали доступ к своей корпоративной сети через VPN.
SSLVPN компании SonicWall был корнем проблемы по крайней мере в трех активно эксплуатируемых уязвимостях из каталога известных эксплуатируемых уязвимостей CISA, включая CVE-2024-53704 , CVE-2023-44221 и CVE-2021-20016 .
В прошлом году Агентство по безопасности и сотрудничеству в Европе (CISA) сообщило в информационном бюллетене , что вирус-вымогатель Akira затронул более 250 организаций, заявив о выплате около 42 миллионов долларов в период с марта 2023 года по январь 2024 года. По словам официальных лиц, операторы Akira крадут данные и шифруют системы, прежде чем угрожать их публикацией. По данным ФБР, некоторые филиалы Akira также обращались к пострадавшим компаниям с просьбой оказать дополнительное давление.
Расследование первопричин атак и происхождения ответственных лиц продолжается.
