Gli operatori del ransomware Fog e Akira stanno violando sempre più le reti aziendali tramite gli account VPN di SonicWall. Gli autori della minaccia starebbero sfruttando la vulnerabilità CVE-2024-40766, ovvero una falla critica nel controllo degli accessi SSL VPN. SonicWall ha corretto la falla di SonicOS a fine agosto 2024 e circa una settimana dopo ha avvisato che era già sotto sfruttamento attivo. Allo stesso tempo, i ricercatori di sicurezza di Arctic Wolf hanno segnalato di aver notato affiliati del ransomware Akira sfruttare la falla per ottenere l'accesso iniziale alle reti delle vittime. Un nuovo report di Arctic Wolf avverte che Akira e l'operazione ransomware Fog hanno condotto almeno 30 intrusioni. Tutte queste sono iniziate con l'accesso remoto a una rete tramite account VPN SonicWall. Come notato, il 75% di questi casi è collegato ad Akira, mentre il resto è attribuito alle operazioni ransomware Fog.
È interessante notare che i due gruppi di minacce sembrano condividere l'infrastruttura. Ciò dimostra la continuazione di una collaborazione non ufficiale tra i due, come precedentemente documentato da Sophos. Sebbene i ricercatori non siano sicuri al 100% che la falla sia stata utilizzata in tutti i casi, tutti gli endpoint violati erano vulnerabili, eseguendo una versione precedente e non patchata. Nella maggior parte dei casi, il tempo dall'intrusione alla crittografia dei dati è stato di circa dieci ore. In alcune occasioni, l’intrusione è stata più rapida, ovvero di 1,5-2 ore. In molti di questi attacchi, gli autori della minaccia hanno avuto accesso all'endpoint tramite VPN/VPS, offuscando i loro veri indirizzi IP.
SonicWall: effettuati attacchi rapidi di crittografia a virtual machine
Arctic Wolf nota che, a parte l'utilizzo di endpoint non patchati, le organizzazioni compromesse non sembravano aver abilitato l'autenticazione multifattoriale sugli account SSL VPN compromessi. Inoltre, non avevano eseguito i propri servizi sulla porta predefinita 4433. Come spiegato da Artic Wolf: "nelle intrusioni in cui sono stati catturati i registri del firewall, sono stati osservati l'ID evento messaggio 238 (accesso utente remoto zona WAN consentito) o l'ID evento messaggio 1080 (accesso utente remoto zona SSL VPN consentito). In seguito a uno di questi messaggi, c'erano diversi messaggi di registro SSL VPN INFO (ID evento 1079). Questi indicavano che l'accesso e l'assegnazione IP erano stati completati correttamente".
Nelle fasi successive, gli autori della minaccia hanno effettuato rapidi attacchi di crittografia mirati principalmente a macchine virtuali e ai loro backup. Il furto di dati dai sistemi violati ha coinvolto documenti e software proprietari. Tuttavia, gli autori della minaccia non si sono preoccupati dei file più vecchi di sei mesi o di 30 mesi per i file più sensibili. Lanciato a maggio 2024, il ransomware Fog è un'operazione in crescita i cui affiliati tendono a utilizzare credenziali VPN compromesse per l'accesso iniziale. Akira, un attore molto più affermato nel settore dei ransomware, ha recentemente avuto problemi di accesso al sito Web Tor. Tuttavia, questo sta ora gradualmente tornando online.