Исследователи и власти предупреждают об участившихся атак вируса-вымогателя Akira, использующего уязвимость годичной давности, влияющую на брандмауэры SonicWall.
В период с середины июля по начало августа на межсетевые экраны SonicWall было зафиксировано около 40 атак, связанных с уязвимостью CVE-2024-40766 . С тех пор исследователи зафиксировали очередную волну атак программ-вымогателей, связанных с активным использованием уязвимости, которая затрагивает протокол VPN SSL в нескольких версиях межсетевых экранов SonicWall, а также с ошибками конфигурации.
Компания Rapid7 сообщила в блоге , опубликованном ранее на этой неделе, что она отреагировала на «двузначное число атак», связанных с уязвимостью и серией неправильных настроек в средах жертв.
Австралийский центр кибербезопасности также опубликовал в среду информационный бюллетень , в котором отметил, что также реагирует на недавний рост числа случаев активного использования уязвимости. «Нам известно о программе-вымогателе Akira, атакующей уязвимые австралийские организации через SSL-VPN SonicWall», — заявило агентство.
Команда реагирования на инциденты Rapid7 сообщила CyberScoop, что с июля наблюдается устойчивый рост числа атак, иногда по несколько случаев в неделю среди клиентов компании. Ограниченный охват Rapid7 позволяет предположить, что последствия могут быть гораздо шире.
Компания SonicWall, которая первоначально сообщила об уязвимости в августе 2024 года, не ответила на запрос о комментарии. Ранее пропатченные, но неправильно настроенные устройства обнаруживаются во многих скомпрометированных средах.
«В подавляющем большинстве случаев, когда работала наша команда, брандмауэры SonicWall были обновлены до версии, исправляющей уязвимость CVE-2024-40766», — сообщила в электронном письме команда реагирования на инциденты Rapid7. «Этап устранения уязвимости, включающий смену локальных паролей, не был завершён, и злоумышленники смогли получить несанкционированный доступ к устройствам».
В прошлом месяце компания SonicWall сообщила, что во многих атаках в конце июля участвовали клиенты, которые перешли с межсетевых экранов 6-го поколения на 7-е, не сбросив пароли. По данным Rapid7, с тех пор у клиентов возникло множество ошибок конфигурации.
Исследователи выявили злоумышленников, злоупотребляющих настройками групп протокола LDAP по умолчанию, что может привести к избыточному доступу к сервисам SSL VPN SonicWall. По данным Rapid7, злоумышленники также получили доступ к порталу виртуального офиса на устройствах SonicWall, вероятно, пытаясь найти пользователей со скомпрометированными учётными данными или учётными записями без многофакторной аутентификации.
Первопричина атак на устройства SonicWall изменилась с тех пор, как исследователи предположили, что в первой серии атак в июле могла быть замешана уязвимость нулевого дня . SonicWall исключила эту возможность в начале августа, после обнаружения новых атак, и приписала эти атаки уязвимости к CVE-2024-40766.
Клиенты SonicWall не понаслышке знакомы с активно эксплуатируемыми уязвимостями. С конца 2021 года компания SonicWall 14 раз упоминалась в каталоге известных эксплуатируемых уязвимостей CISA. По данным CISA, девять из этих уязвимостей используются в кампаниях по вымогательству.
Rapid7 связывает все недавние атаки с использованием брандмауэров SonicWall с вирусом-вымогателем Akira.
Члены Akira обычно крадут данные и шифруют системы, прежде чем начать вымогательство. В прошлом году CISA в своем информационном бюллетене заявила, что с марта 2023 года по январь 2024 года вирус-вымогатель Akira затронул более 250 организаций, потребовав выплатить около 42 миллионов долларов.
В период с середины июля по начало августа на межсетевые экраны SonicWall было зафиксировано около 40 атак, связанных с уязвимостью CVE-2024-40766 . С тех пор исследователи зафиксировали очередную волну атак программ-вымогателей, связанных с активным использованием уязвимости, которая затрагивает протокол VPN SSL в нескольких версиях межсетевых экранов SonicWall, а также с ошибками конфигурации.
Компания Rapid7 сообщила в блоге , опубликованном ранее на этой неделе, что она отреагировала на «двузначное число атак», связанных с уязвимостью и серией неправильных настроек в средах жертв.
Австралийский центр кибербезопасности также опубликовал в среду информационный бюллетень , в котором отметил, что также реагирует на недавний рост числа случаев активного использования уязвимости. «Нам известно о программе-вымогателе Akira, атакующей уязвимые австралийские организации через SSL-VPN SonicWall», — заявило агентство.
Команда реагирования на инциденты Rapid7 сообщила CyberScoop, что с июля наблюдается устойчивый рост числа атак, иногда по несколько случаев в неделю среди клиентов компании. Ограниченный охват Rapid7 позволяет предположить, что последствия могут быть гораздо шире.
Компания SonicWall, которая первоначально сообщила об уязвимости в августе 2024 года, не ответила на запрос о комментарии. Ранее пропатченные, но неправильно настроенные устройства обнаруживаются во многих скомпрометированных средах.
«В подавляющем большинстве случаев, когда работала наша команда, брандмауэры SonicWall были обновлены до версии, исправляющей уязвимость CVE-2024-40766», — сообщила в электронном письме команда реагирования на инциденты Rapid7. «Этап устранения уязвимости, включающий смену локальных паролей, не был завершён, и злоумышленники смогли получить несанкционированный доступ к устройствам».
В прошлом месяце компания SonicWall сообщила, что во многих атаках в конце июля участвовали клиенты, которые перешли с межсетевых экранов 6-го поколения на 7-е, не сбросив пароли. По данным Rapid7, с тех пор у клиентов возникло множество ошибок конфигурации.
Исследователи выявили злоумышленников, злоупотребляющих настройками групп протокола LDAP по умолчанию, что может привести к избыточному доступу к сервисам SSL VPN SonicWall. По данным Rapid7, злоумышленники также получили доступ к порталу виртуального офиса на устройствах SonicWall, вероятно, пытаясь найти пользователей со скомпрометированными учётными данными или учётными записями без многофакторной аутентификации.
Первопричина атак на устройства SonicWall изменилась с тех пор, как исследователи предположили, что в первой серии атак в июле могла быть замешана уязвимость нулевого дня . SonicWall исключила эту возможность в начале августа, после обнаружения новых атак, и приписала эти атаки уязвимости к CVE-2024-40766.
Клиенты SonicWall не понаслышке знакомы с активно эксплуатируемыми уязвимостями. С конца 2021 года компания SonicWall 14 раз упоминалась в каталоге известных эксплуатируемых уязвимостей CISA. По данным CISA, девять из этих уязвимостей используются в кампаниях по вымогательству.
Rapid7 связывает все недавние атаки с использованием брандмауэров SonicWall с вирусом-вымогателем Akira.
Члены Akira обычно крадут данные и шифруют системы, прежде чем начать вымогательство. В прошлом году CISA в своем информационном бюллетене заявила, что с марта 2023 года по январь 2024 года вирус-вымогатель Akira затронул более 250 организаций, потребовав выплатить около 42 миллионов долларов.
