SonicWallデバイスを狙うランサムウェアグループが増加

ここ数カ月の間に、サイバー犯罪グループがSonicWallデバイスを狙い企業ネットワークに侵入してランサムウェアを展開するケースが増えています。

Citrix、F5、Pulse Secure、Fortinet、Palo Alto Networksなどのエンタープライズ用のネットワーク機器が2019年から2020年にかけて同様に悪用されたことを受けて行われたものでエンタープライズVPNやネットワークゲートウェイがランサムウェアのギャングにとって格好の侵入ポイントとなっています。

しかし、これらのシステムにパッチが適用されるとサイバー犯罪グループは次に狙える機器を探し始めました。

4月に発表されたレポート(Mandiant社)と今週発表されたレポート(CrowdStrike社)によると、脅威企業はSonicWallデバイスに新たなターゲットにしているようです

https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html

https://www.crowdstrike.com/blog/how-ecrime-groups-leverage-sonicwall-vulnerability-cve-2019-7481/

この2つのレポートによると、今年の上半期脅威グループはインターネットをスキャンし、2つの脆弱性のエクスプロイトを利用してSonicWall機器を乗っ取っていたことが記述されています。

これは2019年の古いエクスプロイト(CVE-2019-7481)を利用したSonicWall SRA VPNサーバーに対する攻撃と、今年2月にパッチが適用されたバグ(CVE-2021-20016)を利用したSonicWall SMAネットワークゲートウェイに対する攻撃が含まれていました。

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2019-0016

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

Mandiant社によると、これらの攻撃における最終的なプログラムコードには、HelloKitty、FiveHands、Darksideのランサムウェア系統が含まれていました。

CrowdStrike社は、2021年6月8日のブログで、SonicWallシステムにパッチを適用するか、少なくとも2要素認証をサポートするよう企業に呼びかけています。

攻撃者の関心は依然として組織への侵入ポイントに注力しているため、CrowdStrikeは、VPNインフラへの継続的な脅威があっても安全に運用するために、ゼロトラストアプローチを推奨します。CrowdStrikeは、VPNアクセスや、リモートアクセスが可能な追加のリモートアプリケーション、ポータル、電子メールに二要素認証を追加することを推奨しています。

パッチを適用したシステムに対する攻撃の成功例

クラウドストライクの研究者であるヘザー・スミスとハノ・ハインリヒスは、SRA VPNファームウェアバージョン9.0.0.5を実行しているパッチ済みのデバイスに対して、なんと2019年のバグを利用した攻撃が成功したことを確認したと述べています。

これは脅威グループがSonicWallの修正を回避する方法を見つけたことを示唆しています。

つまり2019年以降、脅威グループの活動に大きな変化があり、ランサムウェアのグループはスピアフィッシングによる電子メールベースの攻撃をやめて、エッジネットワーク機器を標的にしたようです。

これらの攻撃は広まっており、ランサムウェアグループだけでなく国家グループなどあらゆるタイプの脅威グループが利用しています。

今回の攻撃では、SonicWall社の機器を標的にしているようですがファームウェアにインターネット経由で遠隔操作が可能な重大な脆弱性が発見された場合、他の企業ベンダーの同様の機器も標的にする可能性が非常に高いと考えられます。

Leave a Reply

Your email address will not be published.