Fog ve Akira fidye yazılımı operatörleri, SonicWall VPN hesapları aracılığıyla kurumsal ağları giderek daha fazla ihlal ediyor ve tehdit aktörlerinin, kritik bir SSL VPN erişim kontrolü kusuru olan CVE-2024-40766’dan yararlandığına inanılıyor.
SonicWall, SonicOS kusurunu Ağustos 2024’ün sonlarında düzeltti ve yaklaşık bir hafta sonra, bunun zaten aktif olarak sömürüldüğü konusunda uyardı.
Aynı zamanda Arctic Wolf güvenlik araştırmacıları, Akira fidye yazılımı bağlı şirketlerinin kurban ağlarına ilk erişim sağlamak için bu kusurdan yararlandığını gördüklerini bildirdi.
Arctic Wolf tarafından hazırlanan yeni bir rapor, Akira ve Fog fidye yazılımı operasyonunun, tamamı SonicWall VPN hesapları aracılığıyla bir ağa uzaktan erişimle başlayan en az 30 izinsiz giriş gerçekleştirdiği konusunda uyarıyor.
Bu vakaların %75’i Akira ile bağlantılı, geri kalanı ise Fog fidye yazılımı operasyonlarıyla ilişkilendiriliyor.
İlginçtir ki, iki tehdit grubu altyapıyı paylaşıyor gibi görünüyor, bu da daha önce Sophos tarafından belgelendiği gibi ikisi arasındaki resmi olmayan işbirliğinin devam ettiğini gösteriyor.
Araştırmacılar kusurun her durumda kullanıldığından %100 emin olmasalar da, ihlal edilen tüm uç noktalar bu kusura karşı savunmasızdı ve daha eski, yama yapılmamış bir sürümü çalıştırıyorlardı.
Çoğu durumda, izinsiz girişten veri şifrelemeye kadar geçen süre kısaydı, yaklaşık on saatti, hatta en hızlı durumlarda 1,5-2 saate ulaşıyordu.
Bu saldırıların çoğunda tehdit aktörleri uç noktaya VPN/VPS aracılığıyla erişerek gerçek IP adreslerini gizlediler.
Arctic Wolf, güvenliği ihlal edilmiş kuruluşların, yama yapılmamış uç noktaları çalıştırmanın yanı sıra, güvenliği ihlal edilmiş SSL VPN hesaplarında çok faktörlü kimlik doğrulamayı etkinleştirmemiş gibi göründüğünü ve hizmetlerini varsayılan 4433 numaralı bağlantı noktasında çalıştırmadıklarını belirtiyor.
Artic Wolf, “Güvenlik duvarı günlüklerinin yakalandığı izinsiz girişlerde, mesaj olayı kimliği 238 (WAN bölgesi uzaktan kullanıcı oturum açmasına izin verildi) veya mesaj olayı kimliği 1080 (SSL VPN bölgesi uzaktan kullanıcı oturum açmasına izin verildi) gözlemlendi” diye açıklıyor.
“Bu mesajlardan birinin ardından, oturum açmanın ve IP atamasının başarıyla tamamlandığını belirten birkaç SSL VPN BİLGİSİ günlük mesajı (olay kimliği 1079) vardı.”
Sonraki aşamalarda tehdit aktörleri, ağırlıklı olarak sanal makineleri ve bunların yedeklerini hedef alan hızlı şifreleme saldırılarına girişti.
İhlal edilen sistemlerden yapılan veri hırsızlığı, belgeleri ve özel yazılımları içeriyordu, ancak tehdit aktörleri altı aydan eski dosyalarla veya daha hassas dosyalar için 30 aydan eski dosyalarla uğraşmadı.
Mayıs 2024’te başlatılan Fog fidye yazılımı, bağlı kuruluşlarının ilk erişim için güvenliği ihlal edilmiş VPN kimlik bilgilerini kullanma eğiliminde olduğu, büyüyen bir operasyondur.
Fidye yazılımı alanında çok daha köklü bir oyuncu olan Akira, BleepingComputer’ın gözlemlediği gibi son zamanlarda Tor web sitesine erişim sorunları yaşadı, ancak bunlar artık yavaş yavaş çevrimiçi olmaya başlıyor.