Ransomware ομάδα εκμεταλλεύεται SonicWall zero-day για να παραβιάσει δίκτυα

Μία



hacking ομάδα

με

οικονομικά κίνητρα

εκμεταλλεύτηκε μία zero-day



ευπάθεια

στις



συσκευές


SMA 100 Series VPN

της

SonicWall

, έχοντας ως στόχο να αναπτύξει ένα νέο

ransomware

γνωστό με την ονομασία

“FiveHands”

στα δίκτυα στόχων

που εδρεύουν στη Βόρεια



Αμερική

και την

Ευρώπη


.

Η



hacking ομάδα

, την οποία οι αναλυτές απειλών της

Mandiant

ονόμασαν

“UNC2447”

, εκμεταλλεύτηκε την




ευπάθεια

CVE-2021-20016

για να παραβιάσει δίκτυα και να αναπτύξει FiveHands

ransomware

payloads πριν από την κυκλοφορία ενημερώσεων κώδικα στα

τέλη Φεβρουαρίου

.

Διαβάστε επίσης:

Η

SonicWall

κυκλοφορεί πρόσθετο update για την



ευπάθεια

SMA 100

Προτού αναπτύξει τα

ransomware

payloads, η UNC2447 παρατηρήθηκε επίσης ότι χρησιμοποίησε

εμφυτεύματα Cobalt Strike

για να αποκτήσει επιμονή και να εγκαταστήσει μία

παραλλαγή του SombRAT

backdoor


, malware που εντοπίστηκε για πρώτη φορά στην εκστρατεία του CostaRicto που συντονίστηκε από μια ομάδα μισθοφόρων

χάκερς

.

Η zero-day



ευπάθεια

εκμεταλλεύτηκε επίσης σε



επιθέσεις

που είχαν ως στόχο τα εσωτερικά

συστήματα

της

SonicWall

τον Ιανουάριο.

Το

ransomware

“FiveHands” που αναπτύσσεται σε



επιθέσεις

της UNC2447, παρατηρήθηκε για πρώτη φορά στο τοπίο των απειλών τον

Οκτώβριο του 2020

. Έχει αρκετές

ομοιότητες με το

ransomware

“HelloKitty”

. Το πρώτο χρησιμοποιήθηκε για την κρυπτογράφηση των συστημάτων της


CD Projekt Red


, του στούντιο ανάπτυξης βιντεοπαιχνιδιών, με τους επιτιθέμενους αργότερα να ισχυρίζονται ότι έκλεψαν τον πηγαίο κώδικα για τα

Cyberpunk 2077

, Witcher 3, Gwent και μια ακυκλοφόρητη έκδοση του Witcher 3.

Δείτε ακόμη:


CD Projekt Red

:



Ransomware




επίθεση

στον δημιουργό του

Cyberpunk 2077

!

Αυτή η

ransomware

επιχείρηση έχει στοχεύσει και άλλες μεγάλες



εταιρείες

παγκοσμίως, συμπεριλαμβανομένης της βραζιλιάνικης εταιρείας ηλεκτρικής ενέργειας

“CEMIG”

(Companhia Energética de Minas Gerais).

Η Mandiant παρατήρησε ότι η δραστηριότητα του HelloKitty μειώθηκε αργά ξεκινώντας από τον Ιανουάριο του 2021 όταν άρχισε να αυξάνεται η

χρήση

του FiveHands σε



επιθέσεις

. Επιπλέον, η



εταιρεία

εκτιμά ότι το HelloKitty μπορεί να έχει χρησιμοποιηθεί από τον Μάιο του 2020 έως τον Δεκέμβριο του 2020 και το FiveHands από περίπου τον Ιανουάριο του 2021.

Η Mandiant έχει συνδέσει τα δύο

ransomware

όχι μόνο λόγω της δυνατότητας κοινής χρήσης, της λειτουργικότητας και των ομοιοτήτων στο coding, αλλά και λόγω του ότι νωρίτερα αυτό το μήνα παρατήρησε ένα FiveHands

ransomware

Tor chat που χρησιμοποιούσε HelloKitty favicon.

Σε

έκθεση

που δημοσιεύτηκε στις

29 Απριλίου

, η Mandiant ανέφερε ότι η UNC2447 αποκομίζει κέρδη από εισβολές εκβιάζοντας τα θύματά της πρώτα με το FiveHands

ransomware

, ενώ στη συνέχεια απειλεί ότι θα διαθέσει τα



δεδομένα

των θυμάτων προς πώληση σε



hacking φόρουμ

. Επεσήμανε ακόμη ότι η



hacking ομάδα

έχει παρατηρηθεί ότι στοχεύει οργανισμούς στην

Ευρώπη

και τη Βόρεια



Αμερική

και έχει επιδείξει ότι έχει προηγμένες



δυνατότητες

ώστε να μπορεί να αποφεύγει τον εντοπισμό.

Πρόταση:

Coveware:

Τα λύτρα που πληρώνουν τα


θύματα

των επιθέσεων

ransomware

έχουν αυξηθεί

Επιπλέον, συνεργάτες της UNC2447 έχουν επίσης παρατηρηθεί ότι ανέπτυξαν δραστηριότητα με το Ragnar Locker

ransomware

σε προηγούμενες



επιθέσεις

.

Τον

Μάρτιο

, οι αναλυτές της Mandiant ανακάλυψαν

τρεις ακόμη zero-day



ευπάθειες

σε προϊόντα της

SonicWall


.

Αυτές οι



ευπάθειες

εκμεταλλεύτηκαν από μια άλλη



hacking ομάδα

– την

“UNC2682”

– με στόχο την εγκατάσταση

backdoor

σε

συστήματα

με την

χρήση


Behinder web shells

, αλλά και την

κίνηση

πλευρικά στα δίκτυα των θυμάτων και την απόκτηση πρόσβασης σε email και



αρχεία

.

Πηγή πληροφοριών: bleepingcomputer.com