Ransomware Fog compromete redes empresariais através de falha em VPN

Os autores dos ransomwares Fog e Akira estão a invadir cada vez mais redes corporativas através de contas VPN da SonicWall, explorando uma falha crítica de controlo de acesso no SSL da VPN.

A empresa norte-americana corrigiu a falha do SonicOS no final de agosto de 2024 e, cerca de uma semana depois, avisou que a falha já estava a ser explorada ativamente.

Os investigadores de segurança da Arctic Wolf informaram que afiliados do ransomware Akira estão a utilizar a falha para obter acesso inicial às redes das vítimas.

De acordo com um novo relatório da Arctic Wolf, as operações de ransomware do Akira e Fog já realizaram pelo menos 30 ataques que começaram com o acesso remoto a redes através de contas VPN da SonicWall. Destes casos, 75% é associado ao ransomware Akira, enquanto a restante percentagem é atribuída ao ransomware Fog.

Os investigadores não tem 100% de certeza de que a falha foi utilizada em todos os casos registados. No entanto, todos os terminais afetados eram vulneráveis a esta falha devido ao uso de uma versão mais antiga e não corrigida.

Em muitos casos, o tempo entre a invasão e a encriptação dos dados foi curto, cerca de dez horas, e em algumas ocasiões apenas 1,5 a duas horas. Muitos destes ataques foram realizados através de VPN/VPS, ocultando os endereços IP verdadeiros dos cibercriminosos.

A Arctic Wolf observou que, além de serem executados em dispositivos não corrigidos, as empresas afetadas não aparentavam ter ativado a autenticação multi-fator nas contas VPN SSL que foram comprometidas.