Исследователи из Arctic Wolf выявили изменения в недавних вторжениях вымогателей: операторы вымогательских программ Akira и Fog все чаще выбирают устройства с брандмауэрами SonicWall.
Fog и Akira Ransomware
С начала августа 2024 года Arctic Wolf исследовала 30 новых вторжений, в которых эти варианты ransomware использовали уязвимости в учетных записях SonicWall SSL VPN. Примерно в 75 % случаев использовалась программа Akira ransomware, а в остальных 25 % - Fog ransomware. Во время этих инцидентов время от момента первоначального доступа к VPN до шифрования варьировалось от 1,5-2 часов до почти 10 часов в некоторых случаях.
Изучив журналы брандмауэров, Arctic Wolf не обнаружил убедительных доказательств наличия известных уязвимостей удаленного выполнения кода, однако используемая прошивка SonicWall часто предшествовала патчам для CVE-2024-40766, недавней критической уязвимости. Кроме того, вредоносные VPN-логины часто прослеживались до провайдеров виртуальных частных серверов (VPS), часто использующих одни и те же IP-адреса хостинга в разных инцидентах с Akira и Fog. Учетные записи VPN в этих случаях были локальными для устройств SonicWall, без многофакторной аутентификации или интеграции с централизованными системами, такими как Active Directory.
Получив доступ, злоумышленники быстро приступали к шифрованию данных, уделяя особое внимание хранилищам виртуальных машин и резервным копиям. В ходе эксфильтрации аффилированные с Ransomware лица выбирали различные данные, копируя общие папки шестимесячной давности и более конфиденциальные папки HR и кредиторской задолженности 30-месячной давности.
В исследовании также отмечается, что программа Fog ransomware, активная с июня 2024 года, вышла за пределы своей первоначальной направленности на образовательный сектор и стала более оппортунистическим подходом к различным отраслям.
Indicators of Compromise
IPv4
- 184.107.5.46
- 185.235.137.150
- 194.33.45.167
- 23.227.162.18
- 45.11.59.16
- 45.86.208.146
- 66.181.33.32
- 77.247.126.158
