Fog ransomware e Akira: attacco ai sistemi VPN SonicWall

Una recente ondata di attacchi ransomware ha evidenziato come i gruppi Fog e Akira stiano sfruttando le vulnerabilità nei sistemi VPN SonicWall per infiltrarsi nelle reti aziendali. Secondo un rapporto di Arctic Wolf, le intrusioni, che coinvolgono entrambe le operazioni ransomware, si basano su un difetto critico nei controlli di accesso SSL VPN di SonicWall, catalogato come CVE-2024-40766.

Vulnerabilità e accesso iniziale: SonicWall come punto debole

SonicWall ha risolto questa vulnerabilità in SonicOS a fine agosto 2024, ma la patch non ha impedito che la falla fosse rapidamente sfruttata da affiliati dei gruppi ransomware. I ricercatori hanno rilevato che Akira ha condotto la maggior parte delle intrusioni, ma la collaborazione con Fog ha permesso un coordinamento su larga scala, evidenziando l’esistenza di un’infrastruttura condivisa tra i due gruppi.

In particolare, sono stati segnalati circa 168.000 endpoint SonicWall ancora vulnerabili, principalmente esposti per mancanza di aggiornamenti. Il tempo medio tra l’intrusione iniziale e la crittografia dei dati è di circa dieci ore, ma in alcuni casi gli attacchi sono stati completati in meno di due ore. I malintenzionati hanno quindi effettuato rapidamente la crittografia dei dati, puntando spesso a macchine virtuali e backup.

Tecniche di evasione e mancanza di autenticazione a due fattori

Le intrusioni sono state facilitate dalla mancanza di autenticazione a due fattori (MFA) sugli account VPN compromessi e dall’utilizzo del traffico di rete sul porto predefinito 4433, che ha agevolato l’accesso da remoto. I log firewall hanno riportato eventi specifici, come l’ID 238 per login remoto e l’ID 1080 per login VPN SSL. Una volta che questi log confermavano l’accesso, i ransomware Akira e Fog procedevano con la crittografia rapida, limitandosi a documenti recenti e software proprietario.

L’operazione Fog, lanciata a maggio 2024, utilizza tipicamente credenziali VPN compromesse per garantire l’accesso iniziale, mentre Akira, operatore di lungo corso nel ransomware, ha recentemente registrato problemi di accesso ai siti Tor, ora in fase di risoluzione. Infine, si sospetta che anche il gruppo ransomware Black Basta stia sfruttando la stessa vulnerabilità SonicWall.

Articoli correlati

Botnet IoT e attacchi DDoS: come proteggersi da minacce globali

Ex-analista CIA si dichiara colpevole di aver condiviso documenti top secret

Tentativi di frode a nome CERT-UA tramite AnyDesk