Наблюдается повышенная активность программ Fog и Akira Ransomware, связанная с SonicWall SSL VPN

ransomware

Исследователи из Arctic Wolf выявили изменения в недавних вторжениях вымогателей: операторы вымогательских программ Akira и Fog все чаще выбирают устройства с брандмауэрами SonicWall.

Fog и Akira Ransomware

С начала августа 2024 года Arctic Wolf исследовала 30 новых вторжений, в которых эти варианты ransomware использовали уязвимости в учетных записях SonicWall SSL VPN. Примерно в 75 % случаев использовалась программа Akira ransomware, а в остальных 25 % - Fog ransomware. Во время этих инцидентов время от момента первоначального доступа к VPN до шифрования варьировалось от 1,5-2 часов до почти 10 часов в некоторых случаях.

Изучив журналы брандмауэров, Arctic Wolf не обнаружил убедительных доказательств наличия известных уязвимостей удаленного выполнения кода, однако используемая прошивка SonicWall часто предшествовала патчам для CVE-2024-40766, недавней критической уязвимости. Кроме того, вредоносные VPN-логины часто прослеживались до провайдеров виртуальных частных серверов (VPS), часто использующих одни и те же IP-адреса хостинга в разных инцидентах с Akira и Fog. Учетные записи VPN в этих случаях были локальными для устройств SonicWall, без многофакторной аутентификации или интеграции с централизованными системами, такими как Active Directory.

Получив доступ, злоумышленники быстро приступали к шифрованию данных, уделяя особое внимание хранилищам виртуальных машин и резервным копиям. В ходе эксфильтрации аффилированные с Ransomware лица выбирали различные данные, копируя общие папки шестимесячной давности и более конфиденциальные папки HR и кредиторской задолженности 30-месячной давности.

В исследовании также отмечается, что программа Fog ransomware, активная с июня 2024 года, вышла за пределы своей первоначальной направленности на образовательный сектор и стала более оппортунистическим подходом к различным отраслям.

Indicators of Compromise

IPv4

  • 184.107.5.46
  • 185.235.137.150
  • 194.33.45.167
  • 23.227.162.18
  • 45.11.59.16
  • 45.86.208.146
  • 66.181.33.32
  • 77.247.126.158
Комментарии: 0