Хакеры используют ошибку SonicWall
Системы заражаются программами-вымогателями FiveHands
«Агрессивная» финансово мотивированная группа угроз воспользовалась уязвимостью нулевого дня в устройствах SonicWall VPN для развёртывания нового вида программ-вымогателей под названием FIVEHANDS.Хакеры используют ошибку SonicWall. Системы заражаются программами-вымогателями FiveHands. Фото: Pixabay
Группа, отслеживаемая фирмой по кибербезопасности Mandiant как UNC2447, воспользовалась недостатком «неправильной нейтрализации SQL-команд» в продукте SSL-VPN SMA100 ( CVE-2021-20016 , оценка CVSS 9,8 ), который позволяет злоумышленнику, не прошедшему проверку подлинности, получить удалённый доступ для выполнение кода, сообщает The Hacker news.
Исследователи Mandiant: «UNC2447 монетизирует свои атаки, сначала вымогая своих у жертв средства с помощью программы-вымогателя FIVEHANDS, а затем агрессивно оказывает давление через угрозы внимания СМИ и предлагает данные о жертвах для продажи на хакерских форумах. UNC2447 была замечена в атаках организаций в Европе и Северной Америке и постоянно демонстрирует расширенные возможности для уклонения от обнаружения и минимизации криминалистической экспертизы после вторжений».
CVE-2021-20016 - используется злоумышленниками для проведения «скоординированной атаки на её внутренние системы» в начале этого года. 22 января SonicWall был взломан путём использования «вероятных уязвимостей нулевого дня» в устройствах удалённого доступа серии SMA 100.
Успешное использование уязвимости предоставит злоумышленнику возможность доступа к учётным данным для входа, а также к информации о сеансе, которая затем может быть использована для входа в уязвимое непропатченное устройство серии SMA 100.
По данным дочерней компании FireEye, вторжения произошли в январе и феврале 2021 года, когда злоумышленник использовал вредоносное ПО под названием SombRAT для развёртывания вымогателя FIVEHANDS. Стоит отметить, что SombRAT был обнаружен в ноябре 2020 года исследователями BlackBerry в рамках кампании под названием CostaRicto, проводимой наёмной хакерской группой.
Атаки UNC2447, связанные с заражением программами-вымогателями, впервые были обнаружены в октябре 2020 года, первоначально они подвергали опасности цели с помощью программы- вымогателя HelloKitty , а затем заменили её на FIVEHANDS в январе 2021 года. Между прочим, оба штамма вымогателей, написанные на C ++, являются перезаписью другой программы-вымогателя под названием DeathRansom .
Исследователи Mandiant: «Основываясь на технических и временных наблюдениях за развёртываниями HelloKitty и FIVEHANDS, HelloKitty, возможно, использовался в общей партнёрской программе с мая 2020 года по декабрь 2020 года и FIVEHANDS примерно с января 2021 года».
FIVEHANDS также отличается от DeathRansom и HelloKitty использованием дроппера только для памяти и дополнительных функций, которые позволяют ему принимать аргументы командной строки и использовать Windows Restart Manager для закрытия файла, который в настоящее время используется, перед шифрованием.
Комментариев пока не было