Всплеск активности программ-вымогателей связан с потенциальной уязвимостью нулевого дня в устройствах SonicWall

По мнению исследователей, недавняя волна атак программ-вымогателей, нацеленных на межсетевые экраны SonicWall, может быть связана с уязвимостью нулевого дня в этих продуктах.

Исследователи Arctic Wolf заявили , что аномальная активность брандмауэра, начавшаяся 15 июля и включавшая доступ к VPN через SonicWall SSL VPN, на следующей неделе переросла во вторжения.

«Судя по тому, что мы видели на данный момент, это, похоже, затрагивает устройства SonicOS», — рассказал изданию Cybersecurity Dive Стефан Хостетлер, ведущий исследователь угроз в Arctic Wolf. «Наше расследование пока носит предварительный характер, поэтому я пока не могу предоставить более подробную информацию».

По словам исследователей, хакеры использовали версию вируса-вымогателя Akira для атак с помощью клавиатуры после взлома SSL VPN-сетей SonicWall.

Похожая активность наблюдалась в 2024 году, когда хакеры воспользовались уязвимостью SonicWall,  известной как CVE-2024-40766 . 

Arctic Wolf заявила, что не может исключить атаки методом подбора или подмены учётных данных, хотя и отметила, что зафиксировала несколько случаев, когда хакеры взламывали полностью пропатченные устройства SonicWall, владельцы которых сменили свои учётные данные. Исследователи также наблюдали взломы систем, использующих многофакторную аутентификацию.

Исследователи поделились своими выводами с SonicWall и работают над предоставлением обновленной информации.

«За последние 48 часов мы наблюдали небольшой рост числа зарегистрированных случаев киберинцидентов с использованием SSLVPN, включая недавнюю активность, о которой сообщила группа по исследованию угроз Arctic Wolf», — сообщил представитель SonicWall изданию Cybersecurity Dive. «Мы расследуем эти случаи, чтобы определить, связаны ли они с ранее раскрытой или новой уязвимостью SonicWall, и продолжим сотрудничать с группами по исследованию угроз, нашими партнерами и клиентами по мере продвижения расследования».