Ransomware Avançado

Crescimento do ransomware Fog: vulnerabilidades em VPNs SonicWall

Operações de ransomware, como Fog e Akira, exploram vulnerabilidades em VPNs SonicWall, comprometendo redes corporativas. Descubra as táticas utilizadas.

Imagem com a logomarca SonicWall

Nos últimos meses, as operações de ransomware, como Fog e Akira, têm intensificado seus ataques contra redes corporativas, utilizando credenciais de VPN SonicWall como ponto de entrada. Acredita-se que esses criminosos cibernéticos estejam se aproveitando da vulnerabilidade crítica CVE-2024-40766, relacionada ao controle de acesso SSL VPN.

Ameaças Crescentes no Cenário do Ransomware

A SonicWall resolveu a falha em sua plataforma SonicOS no final de agosto de 2024, mas uma semana depois, alertou que a vulnerabilidade já estava sendo explorada ativamente. Em paralelo, pesquisadores da Arctic Wolf relataram que afiliados do ransomware Akira também estavam utilizando essa falha para obter acesso inicial às redes das vítimas.

Táticas Utilizadas pelos Criminosos Cibernéticos

De acordo com um novo relatório da Arctic Wolf, tanto a operação Akira quanto a Fog realizaram pelo menos 30 intrusões que começaram com o acesso remoto a redes através de contas VPN SonicWall. Desses incidentes, 75% estão associados ao ransomware Akira, enquanto os demais são atribuídos ao grupo Fog. Curiosamente, as duas facções criminosas parecem compartilhar infraestrutura, indicando uma colaboração não oficial, conforme documentado anteriormente pela Sophos.

Embora os pesquisadores não possam confirmar com certeza que a vulnerabilidade foi utilizada em todos os casos, todos os pontos invadidos estavam vulneráveis, operando em versões desatualizadas do software. O tempo médio entre a invasão e a criptografia dos dados foi surpreendentemente curto, cerca de dez horas, e em algumas situações, esse tempo chegou a apenas 1,5 a 2 horas.

Os atacantes frequentemente acessaram os pontos de entrada via VPN/VPS, mascarando seus endereços IP reais. A Arctic Wolf observou que, além de operarem em endpoints não corrigidos, as organizações afetadas não tinham ativado a autenticação multifatorial nas contas de SSL VPN comprometidas e utilizavam a porta padrão 4433 para seus serviços.

“Nas intrusões onde logs de firewall foram capturados, foram observados os eventos de ID 238 (login de usuário remoto na zona WAN permitido) e ID de evento 1080 (login de usuário remoto na zona SSL VPN permitido)”, explica a Arctic Wolf. “Após uma dessas mensagens, houve várias mensagens de log INFO da SSL VPN (ID de evento 1079), indicando que o login e a atribuição de IP haviam sido concluídos com sucesso.”

Nas etapas seguintes, os criminosos realizaram ataques rápidos de criptografia, focando principalmente em máquinas virtuais e seus backups. O roubo de dados nos sistemas comprometidos envolveu documentos e softwares proprietários, embora os invasores não tenham se preocupado com arquivos com mais de seis meses ou arquivos sensíveis com mais de 30 meses.

O ransomware Fog, que teve sua primeira operação lançada em maio de 2024, está se consolidando como uma ameaça crescente, com seus afiliados frequentemente utilizando credenciais de VPN comprometidas para acessar redes. Por outro lado, o Akira, um jogador mais estabelecido no cenário do ransomware, recentemente enfrentou problemas de acesso ao seu site Tor, embora a situação esteja gradualmente se normalizando.

Acesse a versão completa
Sair da versão mobile