SonicWall VPN под атакой: Новая уязвимость в руках вымогателей
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
По состоянию на середину июля специалисты по кибербезопасности из Arctic Wolf Labs заметили внезапный рост количества вредоносных входов через устройства SonicWall SSL VPN. Это такие специальные устройства, которые компании используют, чтобы сотрудники могли работать удалённо и безопасно подключаться к корпоративной сети. Однако даже полностью обновлённые устройства не устояли перед новыми атаками.
Исследователи предполагают, что найден потенциальный «ноль-день» — то есть уязвимость, о которой никто (даже производитель) ещё не знает, а злоумышленники уже активно пользуются ей. Не исключено и то, что преступники просто раздобыли пароли сотрудников — источники пока под вопросом. Но итог один: после попытки вредоносного входа организации быстро заражались программой-вымогателем Akira.
Akira — относительно новый вирус-шифровальщик, впервые замеченный весной 2023 года. Он атакует компании любого масштаба, в том числе знаменитые — ему удалось проникнуть в сети таких гигантов, как Стэнфордский университет, Nissan Australia и Tietoevry. Akira действует по стандартной схеме: попадает во внутреннюю сеть через ворованные учётные данные VPN или уязвимости в сервисах, шифрует данные, стирает резервные копии и требует выкуп через анонимный сайт в сети Tor.
Особой разницы между «легальными» и вредоносными входами исследователи нашли одну — злоумышленники используют хостинг виртуальных серверов, чтобы анонимно пройти аутентификацию. Настоящие сотрудники обычно подключаются через привычных интернет-провайдеров.
Пока производитель SonicWall не выпустил обновление или хотя бы не прокомментировал ситуацию, экспертами рекомендуются простые меры: включить многофакторную аутентификацию (требует второй способ подтверждения личности), удалить неиспользуемые и старые учётные записи на брандмауэрах и установить новые, сложные пароли.
ФБР и американское Агентство по кибербезопасности (CISA) также предупреждают о росте числа нападений с участием Akira и требуют от организаций ужесточить сетевую безопасность и обязательно включать MFA (двойную идентификацию). Группа Akira умеет нападать как на Windows, так и на Linux, и всё больше организаций во всем мире становятся её жертвами.
PEREC.RU
Стоит только компании заявить о «безопасности корпоративной сети», как тут же где-то активируется вымогатель Akira. Впрочем, маркетинговая бравада SonicWall — лишь декорация.
Любая уверенность в надежной защите разбивается о статистику. Эксперты Arctic Wolf Labs заметили: взламывают даже только что обновлённые VPN. Гипотеза — нулевая уязвимость или попросту продажа чужих паролей на чёрном рынке. В обоих случаях бизнес лишается данных, а потом вынужден вымаливать снисхождение у очередного «анонимного» оператора через Tor.
Неясно, чем занят производитель. Видимо, слушает очередной восторженный отчёт отдела маркетинга, пока реальные клиенты попадают в списки Akira. Очередная рекомендация – переключиться на двухфакторную аутентификацию и по возможности закрывать старые учётки. Эту мантру повторяют и в FBI, и в CISA, растерянно разводя руками.
Подлинная мораль: технический прогресс, похоже, свели к борьбе за право не стать очередной галочкой в презентации хакеров. Скучно богам, когда люди наступают на одни и те же цифровые грабли.
