Уязвимости в SonicWall эксплуатировались для заражения вымогателем FiveHands
30 апреля 2021 года
Преследующие финансовую выгоду киберпреступники эксплуатировали уязвимость в SonicWall SMA 100 Series VPN для развертывания в сетях североамериканских и европейских организаций вымогательского ПО FiveHands. Группировка, отслеживаемая ИБ-компанией Mandiant как UNC2447, использовала уязвимость CVE-2021-20016
до того, как она была исправлена производителем в феврале 2021 года. Эта же уязвимость эксплуатировалась в январе 2021 года для атаки на внутренние системы SonicWall.
По словам специалистов, перед развертыванием вымогательского ПО злоумышленники сохраняли персистентность в атакуемой сети с помощью Cobalt Strike и устанавливали бэкдор SombRAT.
Само вымогательское ПО FiveHands было впервые обнаружено в октябре 2020 года. Вымогатель напоминает вымогательское ПО HelloKitty, которое так же, как и FiveHands, является модифицированной версией DeathRansom. С января 2021 года количество кибератак с использованием HelloKitty начало снижаться, когда на арену вышел вымогатель FiveHands.
В отличие от HelloKitty и DeathRansom новый вымогатель оснащен несколькими дополнительными функциями. Кроме того, с помощью диспетчера перезапуска Windows вымогатель FiveHands способен закрывать используемый в данный момент файл, чтобы его можно было разблокировать и успешно зашифровать.
Как пояснили специалисты Mandiant, UNC2447
монетизирует свои атаки, сначала вымогая у своих жертв выкуп за восстановление зашифрованных FiveHands файлов, а затем оказывая на них агрессивное давление с помощью угроз привлечения внимания СМИ и продажи похищенных данных. Партнеры FiveHands в прошлых атаках также использовали вымогательское ПО Ragnar Locker.
Источники[править]
Эта статья содержит материалы из статьи «Уязвимости в SonicWall эксплуатировались для заражения вымогателем FiveHands», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.