Исследователи кибербезопасности из компании Arctic Wolf зафиксировали тревожную тенденцию: операторы программ-вымогателей Akira и Fog всё чаще используют уязвимости в устройствах SonicWall SSL VPN для проникновения в корпоративные сети. С начала августа 2024 года зафиксировано уже 30 новых атак, в которых злоумышленники эксплуатировали слабые места в защите VPN-решений SonicWall. В 75% случаев использовалась программа Akira, а в остальных 25% - Fog.
Описание
Скорость атак варьируется от 1,5–2 часов до почти 10 часов с момента первого доступа до полного шифрования данных. Это говорит о том, что злоумышленники действуют быстро и целенаправленно, минимизируя время на обнаружение. При этом исследователи не обнаружили явных признаков эксплуатации известных уязвимостей удалённого выполнения кода. Однако в большинстве случаев на атакованных устройствах использовались устаревшие версии прошивки, не содержащие исправления для недавно обнаруженной критической уязвимости CVE-2024-40766.
Ещё одной общей чертой атак стало использование VPN-логинов, связанных с провайдерами виртуальных частных серверов (VPS). Злоумышленники часто использовали одни и те же IP-адреса для разных инцидентов, что может указывать на организованную группировку или использование общих инфраструктурных ресурсов. Важно отметить, что во всех случаях атакованные VPN-аккаунты были локальными, то есть не интегрировались с централизованными системами аутентификации, такими как Active Directory, и не использовали многофакторную аутентификацию (MFA).
После получения доступа злоумышленники быстро переходили к шифрованию данных, особое внимание уделяя хранилищам виртуальных машин и резервным копиям. Это стандартная тактика программ-вымогателей, направленная на максимальное усложнение восстановления данных без выплаты выкупа. Кроме того, в ряде случаев злоумышленники проводили эксфильтрацию данных, копируя как относительно свежие файлы (например, общие папки шестимесячной давности), так и более старые, но критически важные данные (например, документы HR и финансовых отделов за последние 30 месяцев).
Отдельного внимания заслуживает эволюция программы Fog ransomware. Если изначально она была нацелена преимущественно на образовательные учреждения, то сейчас её операторы перешли к более оппортунистической модели, атакуя компании из различных отраслей. Это может свидетельствовать о расширении возможностей злоумышленников или изменении их стратегии.
Эксперты Arctic Wolf рекомендуют организациям, использующим SonicWall SSL VPN, немедленно проверить актуальность прошивки и убедиться, что установлены все последние обновления безопасности. Также критически важно внедрить многофакторную аутентификацию для всех VPN-подключений и по возможности интегрировать VPN-аккаунты с централизованными системами управления идентификацией. Дополнительные меры включают мониторинг подозрительной активности в VPN-логах, регулярное тестирование резервных копий и обучение сотрудников основам кибергигиены.
Растущая активность Akira и Fog ransomware - это очередное напоминание о том, что киберпреступники постоянно ищут новые векторы атак, а уязвимости в VPN-решениях остаются одним из самых популярных способов проникновения в корпоративные сети. Без своевременных мер защиты компании рискуют столкнуться не только с финансовыми потерями, но и с долгосрочными последствиями утечки конфиденциальной информации.
Индикаторы компрометации
IPv4
- 184.107.5.46
- 185.235.137.150
- 194.33.45.167
- 23.227.162.18
- 45.11.59.16
- 45.86.208.146
- 66.181.33.32
- 77.247.126.158
