Перейти к содержимому
vpnРоссия > News > Новости > SonicWall VPN атакован программами-вымогателями

SonicWall VPN атакован программами-вымогателями

SonicWall VPN атакован программами-вымогателями

Операторы вымогательских программ Fog и Akira усилили атаки на корпоративные сети, используя учетные записи SonicWall VPN, эксплуатируя уязвимость CVE-2024-40766. Этот критический дефект управления доступом в SSL VPN был обнаружен в SonicOS. Компания SonicWall исправила уязвимость в конце августа 2024 года, однако уже через неделю предупредила, что эксплойт активно используется злоумышленниками.

Исследователи безопасности из Arctic Wolf подтвердили, что партнеры Akira ransomware применяют эту уязвимость для начального доступа к сетям жертв, что позволяет быстро начинать атаки на внутренние системы.

Совместные действия Akira и Fog

Согласно новому отчету Arctic Wolf, операции вымогателей Akira и Fog связаны как минимум с 30 инцидентами, которые начались с удаленного доступа к корпоративным сетям через учетные записи SonicWall VPN. Из этих случаев 75% атак связаны с операцией Akira, остальные — с Fog.

Интересно, что обе группы угроз, как выяснилось, используют общую инфраструктуру, что подтверждает продолжение неофициального сотрудничества между ними, ранее отмеченного в отчетах Sophos. Несмотря на то, что исследователи не могут на 100% подтвердить, что уязвимость использовалась во всех случаях, все скомпрометированные системы имели уязвимую, не обновленную версию SonicOS.

Атаки следуют схожему сценарию: от проникновения до шифрования данных обычно проходит около десяти часов, а в некоторых случаях атаки развивались всего за 1,5–2 часа. В ходе атак злоумышленники подключались к конечным устройствам через VPN или VPS, скрывая свои реальные IP-адреса.

Arctic Wolf также подчеркнули, что помимо использования уязвимых устройств, компрометированные организации часто не включали многофакторную аутентификацию для SSL VPN-аккаунтов и оставляли порты по умолчанию (4433), что облегчало доступ для злоумышленников.

Arctic Wolf

Arctic Wolf также подчеркнули, что помимо использования уязвимых устройств, компрометированные организации часто не включали многофакторную аутентификацию для SSL VPN-аккаунтов и оставляли порты по умолчанию (4433), что облегчало доступ для злоумышленников.

Логи активности атакующих

В случаях, когда были сохранены журналы работы межсетевого экрана, исследователи обнаружили события с идентификаторами сообщений 238 (разрешен удаленный вход в зону WAN) или 1080 (разрешен удаленный вход в зону SSL VPN). После этого обычно появлялись сообщения в журналах SSL VPN INFO с идентификатором 1079, указывающие на успешное завершение входа и назначения IP-адреса.

После доступа к сети злоумышленники активно переходили к шифрованию данных, концентрируясь на виртуальных машинах и их резервных копиях. При краже данных из систем операторы выбирали документы и программное обеспечение, игнорируя файлы старше шести месяцев или 30 месяцев для особенно чувствительной информации.

Fog ransomware, запущенный в мае 2024 года, быстро развивающаяся операция, в ходе которой злоумышленники часто используют скомпрометированные учетные данные VPN для доступа к корпоративным системам.

Потенциальные угрозы для SonicWall VPN

Японский исследователь Ютака Сежияма подсчитал, что на данный момент в интернете находится около 168 000 уязвимых конечных устройств SonicWall, подверженных CVE-2024-40766. Эти устройства остаются открытыми для атак и подчеркивают важность своевременного обновления безопасности для защиты корпоративных сетей от растущих угроз.

vpn russia

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.

Леся – ведущий дата-аналитик в проекте VPRussia, обладает более чем 5-летним опытом в области анализа данных и разработки аналитических решений. С образованием в области математики и компьютерных наук, Леся специализируется на использовании Python, R и SQL для обработки и анализа больших данных. Её ключевые задачи включают сбор и анализ данных о пользователях VPN-сервисов, разработку моделей для оценки их эффективности, а также создание отчетов и визуализаций для команды и руководства.

Оставить комент

Ваш адрес email не будет опубликован. Обязательные поля помечены *