Los piratas informáticos se dirigen principalmente a las VPN para explotar vulnerabilidades que permiten el acceso no autorizado a las redes corporativas.
Al infiltrarse en estos sistemas, los piratas informáticos pretenden identificar los activos corporativos y establecer un punto de apoyo para una mayor explotación.
Los investigadores de Arctic Wolf descubrieron recientemente que los piratas informáticos están atacando activamente las VPN de SonicWall e infiltrándose en las redes corporativas utilizando el ransomware “Fog”.
Fog ransomware explota las vulnerabilidades de SSL VPN
Los investigadores descubrieron que desde agosto de 2024 hasta octubre de 2024, hubo un aumento significativo de los ciberataques que aprovecharon las vulnerabilidades en SonicWall SSL VPN.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
La explotación de estas vulnerabilidades ha llevado a la implementación de ransomware por parte de dos grandes grupos de amenazas:
De las 30 intrusiones documentadas, el 75% de los ataques fueron causados por el ransomware Akira y el 25% restante fueron llevados a cabo por el ransomware Fog.
Todos estos ataques coinciden con el descubrimiento de una vulnerabilidad de seguridad crítica en el firmware de SonicWall, rastreada como CVE-2024-40766.
Sin embargo, las pruebas de explotación directa no fueron concluyentes. Los atacantes demostraron una gran eficiencia al iniciar el proceso de cifrado en sólo “1,5 horas” después de obtener el acceso inicial y, en algunos casos, ejecutar el proceso de cifrado durante hasta 10 horas.
A diferencia de las campañas dirigidas, todos estos ataques parecían ser oportunistas y afectaron a organizaciones de diversas “industrias” y “tamaños”.
Los atacantes explotan principalmente versiones de “firmware obsoletas”, destacando la importancia de las “actualizaciones de seguridad periódicas” y el “monitoreo de seguridad externo”.
Este patrón de ataque marca un cambio notable con respecto a meses anteriores, cuando los incidentes de ransomware se extendieron a través de múltiples marcas de firewall. Este escenario sugiere que estos grupos de amenazas están enfocados estratégicamente en las “vulnerabilidades de SonicWall”, según el informe de Arctic Wolf.
En estos ciberataques avanzados, los atacantes obtienen acceso principalmente a través de cuentas VPN comprometidas que operan en el puerto predeterminado 4433.
El ataque se originó en proveedores de alojamiento “VPS” (AS64236 – UnReal Servers, LLC y AS32613 – Leaseweb Canada Inc.).
Aquí, descubrimos que los atacantes estaban explotando la autenticación del dispositivo local en lugar de la integración centralizada de “Microsoft Active Directory”. En particular, ninguna de las cuentas comprometidas tenía habilitada MFA.
Esta intrusión se caracterizó por un cifrado rápido centrado en el almacenamiento y las copias de seguridad de máquinas virtuales, y un patrón estratégico de “exfiltración de datos” que limitaba los datos de los archivos comunes a seis meses de datos.
Mientras tanto, se robaron hasta “30 meses de datos” en información confidencial de los departamentos de recursos humanos y cuentas por pagar.
La actividad del actor de amenazas se registra mediante el ID de evento de mensaje '238' (inicio de sesión de usuario remoto permitido para la zona WAN) y '1080' (inicio de sesión de usuario remoto permitido para la zona VPN SSL), seguido del ID de evento “1079” que indica el éxito.
Una vez que el atacante obtiene acceso, elimina estos registros del firewall. Toda la secuencia del ataque ocurrió en cuestión de horas, lo que requirió un “tiempo de respuesta mínimo” de la organización.
Recomendaciones
Hemos enumerado todas las recomendaciones a continuación: –
Actualizaciones periódicas de firmware Monitoreo de inicio de sesión de VPN Copias de seguridad externas seguras Monitoreo sólido de la actividad de los terminales
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
