- 19,485
- 40
- 8 Ноя 2022
Заходят через VPN — выходят с заложниками.
С середины июля зафиксирован всплеск атак с применением вымогательского ПО Для просмотра ссылки Войдиили Зарегистрируйся , нацеленных на устройства SonicWall. По данным компании Arctic Wolf, злоумышленники активно используют SSL <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-подключения этих брандмауэров, при этом основным подозрением остаётся эксплуатация ранее неизвестной уязвимости нулевого дня.
Akira появилась в марте 2023 года и с тех пор Для просмотра ссылки Войдиили Зарегистрируйся более 300 организаций по всему миру. В числе жертв — Nissan (в Австралии и Океании), Hitachi и Стэнфордский университет. Для просмотра ссылки Войди или Зарегистрируйся , на апрель 2024 года группировка получила от жертв более 42 миллионов долларов.
По наблюдениям Arctic Wolf Labs, атаки начались 15 июля. Во многих случаях был зафиксирован несанкционированный доступ через Для просмотра ссылки Войдиили Зарегистрируйся устройств SonicWall. Исследователи подчёркивают, что точный способ первоначального проникновения пока не установлен. Хотя версия с уязвимостью нулевого дня представляется наиболее вероятной, полностью исключить сценарии с компрометированными учётными данными — перебором паролей, словарными и массированными атаками — нельзя.
После получения доступа злоумышленники быстро переходили к шифрованию данных — эта схема соответствует шаблону атак, отслеживаемому с октября 2024 года. Всё указывает на длительную целенаправленную кампанию против SonicWall. Злоумышленники действуют по уже отработанной схеме: Для просмотра ссылки Войдиили Зарегистрируйся резервные копии навсегда, оставляя жертв без возможности восстановления.
Отмечено также, что при этих атаках используется атипичный способ VPN-доступа: вместо обычных провайдеров связи злоумышленники подключаются через хостинг-платформы. Это позволяет отличить вредоносный трафик от легитимного.
Расследование продолжается, но уже сейчас администраторам SonicWall рекомендуется временно отключить SSL VPN, включить расширенное логирование, отслеживание активности конечных точек и заблокировать VPN-доступ с хостинговых IP-адресов до появления патчей.
Эта рекомендация была опубликована спустя неделю после предупреждения от самой SonicWall, призвавшей срочно обновить устройства серии SMA 100. Речь шла о критической уязвимости Для просмотра ссылки Войдиили Зарегистрируйся , позволяющей выполнить произвольный код на незащищённых устройствах при наличии прав администратора. Хотя фактов активного использования этой бреши не выявлено, компания подчёркивает, что устройства уже задействованы в атаках с применением украденных логинов и паролей, в том числе для установки нового руткита OVERSTEP, обнаруженного исследователями Google Threat Intelligence Group. История Для просмотра ссылки Войди или Зарегистрируйся на SonicWall насчитывает уже не один год системных проблем.
SonicWall также настоятельно рекомендовала администраторам виртуальных и физических версий SMA 100 проверить журналы активности, провести поиск индикаторов компрометации и немедленно обратиться в службу поддержки при выявлении признаков взлома.
Представители компании на момент публикации официальных комментариев не предоставили.
С середины июля зафиксирован всплеск атак с применением вымогательского ПО Для просмотра ссылки Войди
Akira появилась в марте 2023 года и с тех пор Для просмотра ссылки Войди
По наблюдениям Arctic Wolf Labs, атаки начались 15 июля. Во многих случаях был зафиксирован несанкционированный доступ через Для просмотра ссылки Войди
После получения доступа злоумышленники быстро переходили к шифрованию данных — эта схема соответствует шаблону атак, отслеживаемому с октября 2024 года. Всё указывает на длительную целенаправленную кампанию против SonicWall. Злоумышленники действуют по уже отработанной схеме: Для просмотра ссылки Войди
Отмечено также, что при этих атаках используется атипичный способ VPN-доступа: вместо обычных провайдеров связи злоумышленники подключаются через хостинг-платформы. Это позволяет отличить вредоносный трафик от легитимного.
Расследование продолжается, но уже сейчас администраторам SonicWall рекомендуется временно отключить SSL VPN, включить расширенное логирование, отслеживание активности конечных точек и заблокировать VPN-доступ с хостинговых IP-адресов до появления патчей.
Эта рекомендация была опубликована спустя неделю после предупреждения от самой SonicWall, призвавшей срочно обновить устройства серии SMA 100. Речь шла о критической уязвимости Для просмотра ссылки Войди
SonicWall также настоятельно рекомендовала администраторам виртуальных и физических версий SMA 100 проверить журналы активности, провести поиск индикаторов компрометации и немедленно обратиться в службу поддержки при выявлении признаков взлома.
Представители компании на момент публикации официальных комментариев не предоставили.
- Источник новости
- www.securitylab.ru
