2021-04-30 13:25:17
В конце января в VPN-решениях компании
SonicWall была обнаружена 0-day уязвимость, через которую, в числе прочих, взломали и саму
SonicWall.
Теперь же
FireEye сообщает, что указанная уязвимость, которая получила CVE-2021-20016, использовалась хакерской группой, обозначаемой как
UNC2447, для проведения атак ransomware.
По данным
FireEye,
UNC2447 была впервые замечена в ноябре 2020 года, когда она использовала новый дроппер
WarPrism. Похоже, что это типичный оператор ransomware, работающий с владельцами различных штаммов вымогателей.
В январе и феврале 2021 года исследователи обнаружили, что ряд их клиентов был атакован новым ransomware
FiveHands ( переделка известного
DeathRansom), который развертывался в скомпрометированной сети с помощью вредоноса
SombRAT. Точкой компрометации сетей служило ПО от
SonicWall. В ходе расследования одной из атак удалось обнаружить образцы
WarPrism, а также профили имплантов
Cobalt Strike, аналогичные использовавшимся
UNC2447. Таким образом,
FireEye связала все эти атаки с хакерской группой.
Самое интересное, что
UNC2447 использовали уязвимость в VPN от
SonicWall еще до выпуска разработчиком исправлений, то есть они не могли получить данные о CVE-2021-20016 путем реинжиниринга соответствующего патча.
Примечательно, что за несколько дней до появления первых сведений об этой уязвимости в январе этого года с журналистами
BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Судя по всему речь шла именно о
SonicWall.
Если дела действительно обстоят таким образом, то это означает, что
SonicWall косвенно несет ответственность за понесенный компаниями ущерб в ходе атак ransomware
FiveHands. Потому что не сообщила известную ей информацию о наличии дырки в своих продуктах.
6.0K views10:25