FogおよびAkiraランサムウェアの運営者は、SonicWallのVPNアカウントを通じて企業ネットワークに侵入するケースが増えており、脅威当事者はSSL VPNアクセス制御の重大な欠陥であるCVE-2024-40766を悪用していると考えられている。
SonicWallは2024年8月下旬にこのSonicOSの欠陥を修正したが、およそ1週間後、すでにこの欠陥が活発に悪用されていると警告した。
同時に、Arctic Wolfのセキュリティ研究者は、この欠陥を利用して被害者のネットワークに初期アクセスするAkiraランサムウェアの関連会社を目撃したと報告している。
Arctic Wolfの新しいレポートでは、AkiraとFogランサムウェア・オペレーションが少なくとも30件の侵入を行い、そのすべてがSonicWall VPNアカウントを通じてネットワークにリモートアクセスすることから始まったと警告している。
これらのケースのうち、75%はAkiraに関連しており、残りはFogランサムウェア操作に起因している。
興味深いことに、この2つの脅威グループはインフラを共有しているようで、以前ソフォスが文書化したように、両者の非公式な協力関係が続いていることを示している。
研究者は、すべてのケースでこの欠陥が使用されたと100%断定しているわけではないが、侵入されたエンドポイントはすべてこの欠陥に対して脆弱であり、パッチが適用されていない古いバージョンを実行していた。
ほとんどの場合、侵入からデータ暗号化までの時間は約10時間と短く、最も早いケースでは1.5~2時間に達しました。
これらの攻撃の多くでは、脅威者はVPN/VPS経由でエンドポイントにアクセスし、実際のIPアドレスを隠していました。
Arctic Wolfは、パッチが適用されていないエンドポイントを操作していたことに加え、侵害された組織は、侵害されたSSL VPNアカウントで多要素認証を有効にしておらず、デフォルトのポート4433でサービスを実行していたようだと指摘しています。
「ファイアウォールのログがキャプチャされた侵入では、メッセージ・イベントID 238(WANゾーンのリモート・ユーザー・ログインが許可された)またはメッセージ・イベントID 1080(SSLVPNゾーンのリモート・ユーザー・ログインが許可された)が観察された」とArtic Wolfは説明する。
「これらのメッセージの1つに続いて、ログインとIP割り当てが正常に完了したことを示すSSL VPNのINFOログメッセージ(イベントID 1079)がいくつかありました。
その後の段階で、脅威者は主に仮想マシンとそのバックアップを標的とした迅速な暗号化攻撃を行いました。
侵入されたシステムから盗まれたデータには、文書や専有ソフトウェアが含まれていたが、脅威者は6ヶ月以上前のファイルには手を付けず、より機密性の高いファイルについては30ヶ月前のものであった。
2024年5月に開始されたFogランサムウェアは、その関連会社が最初のアクセスに漏洩したVPN認証情報を使用する傾向があり、その活動は拡大している。
Akiraは、ランサムウェアの分野ではるかに確立されたプレーヤーであるが、最近、Torのウェブサイトへのアクセスに問題があった。
Comments