Sebuah kelompok ancaman “agresif” bermotivasi finansial yang memanfaatkan kelemahan zero-day dalam peralatan SonicWall VPN. Itu berlangsung sebelum adanya perbaikan oleh perusahaan untuk menyebarkan jenis ransomware baru yang bernama FIVEHANDS.
Grup tersebut, yang terlacak oleh perusahaan keamanan siber Mandiant sebagai UNC2447, memanfaatkan cacat “netralisasi perintah SQL yang tidak tepat”.
Dalam produk SSL-VPN SMA100 (CVE-2021-20016, skor CVSS 9,8) yang memungkinkan penyerang yang tidak terautentikasi mencapai eksekusi kode jarak jauh .
UNC2447 memonetisasi gangguan dengan memeras korban mereka terlebih dahulu dengan FIVEHANDS ransomware.
Berlanjut dengan secara agresif memberikan tekanan melalui ancaman perhatian media dan menawarkan data korban untuk dijual di forum peretas.
kata peneliti Mandiant.
Dari pengamatan terhadap UNC2447, itu menargetkan organisasi di Eropa dan Amerika Utara. Yang secara konsisten menunjukkan kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi.
CVE-2021-20016 adalah zero-day yang sama yang menurut perusahaan berbasis di San Jose tereksploitasi oleh “aktor ancaman canggih”. Dengan tujuan untuk melakukan “serangan terkoordinasi pada sistem internalnya” awal tahun ini.
SonicWall telah dilanggar dengan mengeksploitasi “kemungkinan kerentanan zero-day” di perangkat akses jarak jauh seri SMA 100-nya.
Eksploitasi bug yang berhasil akan memberi penyerang kemampuan untuk mengakses kredensial masuk. Serta informasi sesi yang kemudian dapat mereka gunakan untuk masuk ke perangkat seri SMA 100 yang belum mendapat perbaikan.
Menurut anak perusahaan milik FireEye, intrusi tersebut telah terjadi pada Januari dan Februari 2021. Dengan pelaku ancaman menggunakan malware bernama SombRAT untuk menyebarkan FIVEHANDS ransomware.
Yang menjadi catatatn adalah bahwa SombRAT terlihat pada November 2020 oleh peneliti BlackBerry. Sehubungan dengan kampanye yang bernama CostaRicto oleh kelompok peretas tentara bayaran.
Bug Zero-Day SonicWall dengan Ransomeware baru bernama FIVEHANDS
Serangan UNC2447 yang melibatkan infeksi ransomware pertama kali diamati di alam liar pada Oktober 2020. Awalnya membahayakan target dengan ransomware HelloKitty, sebelum menukarnya dengan FIVEHANDS pada Januari 2021.
Kebetulan, kedua jenis ransomware, yang menggunakan bahasa C ++, merupakan penulisan ulang dari ransomware lain yang bernama DeathRansom.
Berdasarkan observasi teknis dan temporal penerapan HelloKitty dan FIVEHANDS.
HelloKitty mungkin merupakan basic dari program afiliasi secara keseluruhan dari Mei 2020 hingga Desember 2020, dan FIVEHANDS sejak sekitar Januari 2021.
kata para peneliti.
FIVEHANDS juga berbeda dari DeathRansom dan HelloKitty dalam penggunaan dropper hanya memori dan fitur tambahan yang memungkinkannya menerima argumen baris perintah. Dan memanfaatkan Windows Restart Manager untuk menutup file yang berjalan sebelum enkripsi.
Pengungkapan itu terjadi kurang dari dua minggu setelah FireEye membocorkan tiga kerentanan yang sebelumnya tidak diketahui dalam perangkat lunak keamanan email SonicWall.
Yang secara aktif mengalami eksploitasi untuk menggunakan shell web untuk akses pintu belakang ke korban. FireEye melacak aktivitas berbahaya ini dengan nama UNC2682.