Explotan error de día cero de SonicWall en los ataques de ransomware FiveHands

Iniciado por Dragora, Mayo 04, 2021, 11:16:35 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Un grupo de amenazas "agresivo" con motivaciones financieras aprovechó una falla de día cero en los dispositivos VPN de SonicWall antes de que la empresa lo parcheara para implementar una nueva variedad de ransomware llamada FIVEHANDS.

El grupo, rastreado por la firma de ciberseguridad Mandiant como UNC2447, se aprovechó de una falla de "neutralización incorrecta de comandos SQL" en el producto SSL-VPN SMA100 ( CVE-2021-20016 , CVSS puntuación 9.8 ) que permite a un atacante no autenticado lograr la ejecución remota de código .

Citar"UNC2447 monetiza las intrusiones extorsionando a sus víctimas primero con el ransomware FIVEHANDS y luego aplicando presión agresivamente a través de amenazas de atención de los medios y ofreciendo datos de las víctimas a la venta en foros de piratas informáticos", dijeron los investigadores de Mandiant . "Se ha observado que UNC2447 tiene como objetivo organizaciones en Europa y América del Norte y ha mostrado constantemente capacidades avanzadas para evadir la detección y minimizar el análisis forense posterior a la intrusión".

CVE-2021-20016 es el mismo día cero que la firma con sede en San José dijo que fue explotado por "actores de amenazas sofisticados" para organizar un "ataque coordinado a sus sistemas internos" a principios de este año. El 22 de enero, The Hacker News reveló exclusivamente que SonicWall había sido violado al explotar "probables vulnerabilidades de día cero" en sus dispositivos de acceso remoto de la serie SMA 100.

La explotación exitosa de la falla otorgaría a un atacante la capacidad de acceder a las credenciales de inicio de sesión, así como a la información de la sesión que luego podría usarse para iniciar sesión en un dispositivo vulnerable de la serie SMA 100 sin parches.

Según la subsidiaria propiedad de FireEye, se dice que las intrusiones ocurrieron en enero y febrero de 2021, y el actor de amenazas utilizó un malware llamado SombRAT para implementar el ransomware FIVEHANDS. Vale la pena señalar que SombRAT fue descubierto en noviembre de 2020 por investigadores de BlackBerry junto con una campaña llamada CostaRicto llevada a cabo por un grupo de hackers mercenarios.

Los ataques UNC2447 que involucran infecciones de ransomware se observaron por primera vez en la naturaleza en octubre de 2020, comprometiendo inicialmente los objetivos con el ransomware HelloKitty , antes de cambiarlo por FIVEHANDS en enero de 2021. Por cierto, ambas cepas de ransomware, escritas en C ++, son reescrituras de otro ransomware llamado DeathRansom .

Citar"Según las observaciones técnicas y temporales de las implementaciones de HelloKitty y FIVEHANDS, HelloKitty puede haber sido utilizado por un programa de afiliados general desde mayo de 2020 hasta diciembre de 2020, y FIVEHANDS desde aproximadamente enero de 2021", dijeron los investigadores.

FIVEHANDS también se diferencia de DeathRansom y HelloKitty en el uso de un cuentagotas de solo memoria y características adicionales que le permiten aceptar argumentos de línea de comandos y utilizar el Administrador de reinicio de Windows para cerrar un archivo actualmente en uso antes del cifrado.

La divulgación se produce menos de dos semanas después de que FireEye divulgara tres vulnerabilidades previamente desconocidas en el software de seguridad de correo electrónico de SonicWall que fueron explotadas activamente para implementar un shell web para el acceso de puerta trasera a la víctima. FireEye está rastreando esta actividad maliciosa bajo el nombre UNC2682.

Fuente: The Hacker News