Hakeri ciljaju VPN-ove prvenstveno da iskoriste ranjivosti koje im omogućavaju da dobiju neovlašteni pristup mrežama preduzeća.
Infiltriranjem u ove sisteme, hakeri imaju za cilj da identifikuju imovinu preduzeća i uspostave uporište za dalju eksploataciju.
Istraživači Arctic Wolfa su nedavno otkrili da hakeri aktivno napadaju SonicWall VPN-ove i provaljuju korporativne mreže koristeći “Fog” ransomware.
Fog Ransomware koji iskorištava SSL VPN ranjivosti
Između “avgusta” i “oktobra 2024.”, istraživači su otkrili veliki porast sajber-napada koristeći ranjivosti “SonicWall SSL VPN”.
Iskorištavanje ovih ranjivosti dovelo je do implementacije ransomwarea od strane dvije glavne grupe prijetnji:-
- Akira
- Magla
Među “30” dokumentovanih upada, “ Akira ransomware ” je odgovoran za 75% napada, dok je “Fog ransomware” izvršio preostalih 25%.
Svi ovi napadi su se preklapali sa otkrivanjem kritične sigurnosne ranjivosti u firmveru SonicWall-a, a mana je praćena kao ‘ CVE-2024-40766 ‘.
Međutim, direktni dokazi o eksploataciji nisu bili konačni. Hakeri su pokazali izuzetnu efikasnost sa procesima šifrovanja koji su pokrenuti čak „1,5 sati“ nakon dobijanja početnog pristupa, dok su u nekim slučajevima produženi i do 10 sati.
Za razliku od ciljanih kampanja, svi ovi napadi izgledali su oportunistički i uticali su na organizacije u različitim „industrijama“ i „veličinama“.
Hakeri su prvenstveno koristili verzije “zastarjele firmvera”, što naglašava kritičnu važnost “redovnih sigurnosnih ažuriranja” i “spoljnog nadzora sigurnosti”.
Obrazac napada označio je značajan pomak u odnosu na prethodne mjesece kada su incidenti ransomware-a distribuisani na više brendova zaštitnog zida. Ovaj scenario sugeriše strateški fokus na „SonicWall ranjivosti“ ovih grupa pretnji, navodi se u izveštaju Arctic Wolf .
U ovim sofisticiranim sajber napadima, akteri prijetnji su stekli neovlašteni ulazak prvenstveno putem narušenih „VPN naloga“ koji rade na zadanom „portu 4433“.
Napadi su potekli od „VPS“ hosting provajdera (AS64236 – UnReal Servers, LLC i AS32613 – Leaseweb Canada Inc.).“
Ovdje su hakeri otkrili da iskorištavaju provjeru autentičnosti lokalnog uređaja, a ne centraliziranu integraciju „Microsoft Active Directory“, a posebno, nijedan od narušenih naloga nije imao omogućen MFA.
Upadi su bili obilježeni brzom enkripcijom fokusiranom na skladištenje virtuelnih mašina i sigurnosne kopije zajedno sa strateškim obrascima „eksfiltracije podataka“ gdje su opšti fajlovi bili ograničeni na šest mjeseci podataka.
U međuvremenu, osjetljive informacije iz odjela za ljudske resurse i račune su doveli do „kradenih podataka do 30 mjeseci“.
Aktivnosti hakera evidentirane su putem ID-ova događaja poruke “238” (dozvoljena udaljena prijava korisnika na WAN zonu) i “1080” (dozvoljena udaljena prijava korisnika u SSL VPN zonu), nakon čega slijedi ID događaja “1079” koji ukazuje na uspješne prijave.
Nakon što dobiju pristup, akteri prijetnji brišu ove evidencije zaštitnog zida. Čitav niz napada dogodio se u roku od nekoliko sati ostavljajući organizacije sa “minimalnim vremenom odgovora”.
Preporuke
U nastavku smo naveli sve preporuke:-
- Redovno ažuriranje firmvera
- Nadgledanje VPN prijava
- Sigurne sigurnosne kopije van lokacije
- Robusni nadzor aktivnosti krajnje tačke
Izvor: CyberSecurityNews
