Threats
De acordo com um relatório, os dispositivos afetados pelos ransomware Akira e Fog eram vulneráveis a uma falha crítica de controlo de acesso no SSL da VPN
30/10/2024
Os autores dos ransomwares Fog e Akira estão a invadir cada vez mais redes corporativas através de contas VPN da SonicWall, explorando uma falha crítica de controlo de acesso no SSL da VPN. A empresa norte-americana corrigiu a falha do SonicOS no final de agosto de 2024 e, cerca de uma semana depois, avisou que a falha já estava a ser explorada ativamente. Os investigadores de segurança da Arctic Wolf informaram que afiliados do ransomware Akira estão a utilizar a falha para obter acesso inicial às redes das vítimas. De acordo com um novo relatório da Arctic Wolf, as operações de ransomware do Akira e Fog já realizaram pelo menos 30 ataques que começaram com o acesso remoto a redes através de contas VPN da SonicWall. Destes casos, 75% é associado ao ransomware Akira, enquanto a restante percentagem é atribuída ao ransomware Fog. Os investigadores não tem 100% de certeza de que a falha foi utilizada em todos os casos registados. No entanto, todos os terminais afetados eram vulneráveis a esta falha devido ao uso de uma versão mais antiga e não corrigida. Em muitos casos, o tempo entre a invasão e a encriptação dos dados foi curto, cerca de dez horas, e em algumas ocasiões apenas 1,5 a duas horas. Muitos destes ataques foram realizados através de VPN/VPS, ocultando os endereços IP verdadeiros dos cibercriminosos. A Arctic Wolf observou que, além de serem executados em dispositivos não corrigidos, as empresas afetadas não aparentavam ter ativado a autenticação multi-fator nas contas VPN SSL que foram comprometidas. |