Nos últimos meses, as operações de ransomware, como Fog e Akira, têm intensificado seus ataques contra redes corporativas, utilizando credenciais de VPN SonicWall como ponto de entrada. Acredita-se que esses criminosos cibernéticos estejam se aproveitando da vulnerabilidade crítica CVE-2024-40766, relacionada ao controle de acesso SSL VPN.
Ameaças Crescentes no Cenário do Ransomware
A SonicWall resolveu a falha em sua plataforma SonicOS no final de agosto de 2024, mas uma semana depois, alertou que a vulnerabilidade já estava sendo explorada ativamente. Em paralelo, pesquisadores da Arctic Wolf relataram que afiliados do ransomware Akira também estavam utilizando essa falha para obter acesso inicial às redes das vítimas.
Táticas Utilizadas pelos Criminosos Cibernéticos
De acordo com um novo relatório da Arctic Wolf, tanto a operação Akira quanto a Fog realizaram pelo menos 30 intrusões que começaram com o acesso remoto a redes através de contas VPN SonicWall. Desses incidentes, 75% estão associados ao ransomware Akira, enquanto os demais são atribuídos ao grupo Fog. Curiosamente, as duas facções criminosas parecem compartilhar infraestrutura, indicando uma colaboração não oficial, conforme documentado anteriormente pela Sophos.
Embora os pesquisadores não possam confirmar com certeza que a vulnerabilidade foi utilizada em todos os casos, todos os pontos invadidos estavam vulneráveis, operando em versões desatualizadas do software. O tempo médio entre a invasão e a criptografia dos dados foi surpreendentemente curto, cerca de dez horas, e em algumas situações, esse tempo chegou a apenas 1,5 a 2 horas.
Notícias Relacionadas
Ataques Cibernéticos
Novos ataques em nuvem da TeamTNT para mineração de criptomoedas
O grupo TeamTNT intensifica ataques em ambientes nativos da nuvem, visando servidores Docker para mineração de criptomoedas, utilizando novas táticas e estratégias de monetização.
Ransomware avançado
Nova versão do Qilin.B ransomware utiliza criptografia avançada e técnicas furtivas
Uma nova variante do ransomware Qilin.B, com criptografia aprimorada e táticas avançadas de evasão, foi descoberta, representando uma ameaça crescente à segurança cibernética.
Os atacantes frequentemente acessaram os pontos de entrada via VPN/VPS, mascarando seus endereços IP reais. A Arctic Wolf observou que, além de operarem em endpoints não corrigidos, as organizações afetadas não tinham ativado a autenticação multifatorial nas contas de SSL VPN comprometidas e utilizavam a porta padrão 4433 para seus serviços.
“Nas intrusões onde logs de firewall foram capturados, foram observados os eventos de ID 238 (login de usuário remoto na zona WAN permitido) e ID de evento 1080 (login de usuário remoto na zona SSL VPN permitido)”, explica a Arctic Wolf. “Após uma dessas mensagens, houve várias mensagens de log INFO da SSL VPN (ID de evento 1079), indicando que o login e a atribuição de IP haviam sido concluídos com sucesso.”
Nas etapas seguintes, os criminosos realizaram ataques rápidos de criptografia, focando principalmente em máquinas virtuais e seus backups. O roubo de dados nos sistemas comprometidos envolveu documentos e softwares proprietários, embora os invasores não tenham se preocupado com arquivos com mais de seis meses ou arquivos sensíveis com mais de 30 meses.
O ransomware Fog, que teve sua primeira operação lançada em maio de 2024, está se consolidando como uma ameaça crescente, com seus afiliados frequentemente utilizando credenciais de VPN comprometidas para acessar redes. Por outro lado, o Akira, um jogador mais estabelecido no cenário do ransomware, recentemente enfrentou problemas de acesso ao seu site Tor, embora a situação esteja gradualmente se normalizando.
