0
0
Pesquisadores descobriram uma falha no produto que permite que um invasor não autenticado alcance a execução remota de código
Um grupo de hackers passou a explorar uma falha de dia zero nos dispositivos SonicWall VPN antes de ser corrigido pela empresa para implantar uma nova cepa de ransomware denominada FiveHands. O grupo, rastreado pela empresa de segurança cibernética Mandiant como UNC2447, descobriu uma vulnerabilidade de “neutralização de comando SQL impróprio” no produto SSL-VPN SMA 100 — referenciada como CVE-2021-20016, com pontuação CVSS de 9,8 — que permite que um invasor não autenticado alcance a execução remota de código.
“O UNC2447 está extorquindo as vítimas do FiveHands para o pagamento de resgate, exercendo pressão agressiva por meio de ameaças de vazamento de dados da vítima e a venda em fóruns da dark web”, disseram os pesquisadores da Mandiant. “O UNC2447 tem sido observado tendo como alvo organizações na Europa e na América do Norte e tem apresentado recursos avançados de forma consistente para evitar a detecção e minimizar a perícia pós-intrusão.”
O CVE-2021-20016 é o mesmo dia zero que a empresa sediada em San Jose disse ter sido explorado por “operadores sofisticados de ameaças” para encenar um “ataque coordenado a seus sistemas internos” no início deste ano. Em 22 de janeiro, o site The Hacker News revelou com exclusividade que os dispositivos de acesso remoto da série SMA 100 da SonicWall haviam sido violados por meio de “prováveis vulnerabilidades de dia zero”.
A exploração bem-sucedida da falha concederia a um invasor a capacidade de acessar as credenciais de login, bem como as informações da sessão que poderiam então ser usadas para fazer login em um dispositivo da série SMA 100 vulnerável sem patch.
De acordo com a FireEye, as invasões teriam ocorrido em janeiro e fevereiro deste ano, com os operadores da ameaça usando malware chamado SombRAT para implantar o ransomware FiveHands. Vale lembrar que o SombRAT foi descoberto em novembro de 2020 por pesquisadores do BlackBerry em conjunto com uma campanha chamada CostaRicto realizada por um grupo de hackers mercenários.
Ataques do UNC2447 envolvendo infecções de ransomware foram observados pela primeira vez em outubro de 2020, inicialmente comprometendo alvos com o ransomware HelloKitty, antes de trocá-lo pelo FiveHands em janeiro. A propósito, os dois tipos de ransomware, escritos em C ++, são reescritas de outro ransomware chamado DeathRansom.
“Com base em observações técnicas e temporais das implantações do HelloKitty e do FiveHands, o HelloKitty pode ter sido usado por um programa geral de afiliados de maio a dezembro de 2020, e o FiveHands desde aproximadamente janeiro deste ano”, disseram os pesquisadores.
O FiveHands também difere do DeathRansom e do HelloKitty no uso de um dropper somente de memória e recursos adicionais que permitem aceitar argumentos de linha de comando e utilizar o Windows Restart Manager para fechar um arquivo em uso antes da criptografia.A divulgação ocorre menos de duas semanas depois de a FireEye ter divulgado três vulnerabilidades anteriormente desconhecidas no software de segurança de e-mail da SonicWall que foram ativamente exploradas para implantar um shell da web para acesso por backdoor à vítima. A FireEye está rastreando essa atividade maliciosa com o apelido UNC2682.
FONTE: CISO ADVISOR