Dalış Özeti:
- Fidye yazılımı saldırıları gerçekleşti en az 30 kuruluş Arctic Wolf Labs’taki güvenlik araştırmacıları Perşembe günü yaptığı açıklamada, satıcının iki ay önce açıkladığı ve yamaladığı kritik bir güvenlik açığından etkilenen ürün yazılımını çalıştıran SonicWall güvenlik duvarlarını kullandığını söyledi.
- SonicWall açıklandı ve yamalı uygunsuz erişim kontrolü güvenlik açığı, CVE-2024-4076622 Ağustos’ta CVSS puanı 9,3 olan Arctic Wolf Labs, Ağustos ayı başlarında SonicWall güvenlik duvarlarının etkilenen SSL VPN özelliğini içeren Akira ve Fog fidye yazılımı türlerinin izinsiz girişlerini gözlemlemeye başladığını söyledi.
- SonicWall küresel halkla ilişkiler kıdemli direktörü Bret Fitzgerald Perşembe günü e-posta yoluyla şunları söyledi: “Ağustos ayından bu yana izinsiz giriş girişimleri ile tutarlı olarak faaliyetlerde önemli bir artış gözlemledik; faaliyetlerdeki ani artışlar genellikle mesai saatleri dışında meydana geliyor.”
Dalış Bilgisi:
Ek mağdur örgütlerinin potansiyeli oldukça geniştir. Gizli risk, güvenlik satıcısının güvenlik duvarlarını destekleyen yazılım olan SonicOS’taki kritik güvenlik açığını düzeltmemiş olan SonicWall müşterilerini de kapsamaktadır.
Fitzgerald, “CVE’de açıklanan güvenlik açığı, destek altındaki 300.000’den fazla cihazı etkiliyor, dolayısıyla potansiyel olarak binlerce kuruluş etkileniyor” dedi.
Fitzgerald, daha yeni SonicWall Gen 7 cihazlarını kullanan müşterilerin yaklaşık yarısının aygıt yazılımlarını yükselttiğini ve Gen 6.5 ve daha eski sürümleri çalıştıran birimlerin yaklaşık %30’unun güvenlik açığını bir yazılım güncellemesiyle düzelttiğini söyledi.
Arctic Wolf’un dijital adli olay müdahalesinden sorumlu başkan yardımcısı Kerri Shafer-Page, perşembe günü e-posta yoluyla yaptığı açıklamada, bu saldırılarla bağlantılı tehdit gruplarının geniş bir sektör ve çeşitli büyüklükteki kuruluşları hedef aldığını söyledi.
SonicWall, belirli türdeki kuruluşların veya sektörlerin hedef alındığını gösteren herhangi bir modelin farkında olmadığını da sözlerine ekledi.
Saldırganlar, saldırılarının bir parçası olarak verileri şifreledi ve çaldı. Arctic Wolf’a göre bir vakada insan kaynakları ve borç hesapları departmanlarından 30 aya kadar hassas bilgiler çalındı. Şifreleme sırasında saldırganlar sanal makinelerin depolanmasına ve yedeklerine odaklandı.
Arctic Wolf’a göre fidye yazılımına veya şifrelemeye ilk erişim arasındaki süre 90 dakika ile 10 saat arasında değişiyordu.
Arctic Wolf tarafından gözlemlenen 4 saldırının 3’ünde Akira fidye yazılımı, geri kalanında ise Fog fidye yazılımı kullanıldı.
SonicWall, müşteriler tarafından paylaşılan ayrıntıları veya müşterilerine yönelik fidye yazılımı saldırılarıyla ilgili bilgileri açıklamadığını söyledi. Fitzgerald, “SonicWall, gözlenen izinsiz giriş girişimiyle bağlantılı operasyonel aksaklıklar, veri sızıntıları, gasp talepleri veya ödemelerden başka şekilde haberdar değil” dedi.
Arctic Wolf Labs, izinsiz girişleri CVE-2024-40766 açıklarına bağlayan kesin bir kanıt gözlemlemediğini ancak kurban ortamlarına ilk erişimin SonicWall güvenli yuva katmanı VPN hesaplarının kullanımını içerdiğini söyledi.
Arctic Wolf Labs araştırmacıları, bu saldırılara katılan tüm SonicWall cihazlarının, güvenlik açığından etkilenen ürün yazılımı sürümlerini çalıştırdığını söyledi.
Güvenlik araştırmacıları ilk olarak fidye yazılımı gruplarının Eylül başında fidye yazılımı saldırılarında ilk erişim için SonicWall cihazlarındaki SSL VPN hesaplarını tehlikeye attığı konusunda uyardı.
SonicWall, ağustos ayında güvenlik açığının açıklanmasından bu yana bir çağrı kampanyası başlattığını ve ortaklara ve müşterilere çok sayıda güvenlik bülteni gönderdiğini söyledi. Şirket ayrıca olaya müdahale firmaları, devlet kurumları ve kolluk kuvvetleriyle bilgi paylaştığını söyledi.