Les opérateurs de ransomware Fog et Akira piratent de plus en plus les réseaux d’entreprise via des comptes VPN SonicWall, les auteurs de la menace étant soupçonnés d’exploiter CVE-2024-40766, une faille critique de contrôle d’accès VPN SSL.
SonicWall a corrigé la faille SonicOS fin août 2024, et environ une semaine plus tard, il a averti qu’elle était déjà sous exploitation active.
Dans le même temps, les chercheurs en sécurité d’Arctic Wolf ont rapporté avoir vu des affiliés du ransomware Akira exploiter la faille pour obtenir un accès initial aux réseaux des victimes.
Un nouveau rapport d’Arctic Wolf avertit qu’Akira et l’opération de ransomware Fog ont effectué au moins 30 intrusions qui ont toutes commencé par un accès à distance à un réseau via des comptes VPN SonicWall.
Parmi ces cas, 75% sont liés à Akira, le reste étant attribué aux opérations de ransomware Fog.
Fait intéressant, les deux groupes de menaces semblent partager une infrastructure, ce qui montre la poursuite d’une collaboration non officielle entre les deux, comme précédemment documenté par Sophos.
Bien que les chercheurs ne soient pas sûrs à 100% que la faille ait été utilisée dans tous les cas, tous les points de terminaison violés y étaient vulnérables, exécutant une version plus ancienne et non corrigée.
Dans la plupart des cas, le délai entre l’intrusion et le cryptage des données était court, à environ dix heures, atteignant même 1,5 à 2 heures dans les occasions les plus rapides.
Dans bon nombre de ces attaques, les auteurs de la menace ont accédé au point de terminaison via VPN/VPS, masquant leurs véritables adresses IP.
Arctic Wolf note qu’à part l’exploitation de points de terminaison non corrigés, les organisations compromises ne semblaient pas avoir activé l’authentification multifacteur sur les comptes VPN SSL compromis et exécuter leurs services sur le port par défaut 4433.
« Dans les intrusions où les journaux du pare-feu ont été capturés, l’ID d’événement de message 238 (connexion de l’utilisateur distant de la zone WAN autorisée) ou l’ID d’événement de message 1080 (connexion de l’utilisateur distant de la zone VPN SSL autorisée) ont été observés », explique Artic Wolf.
« Suite à l’un de ces messages, il y avait plusieurs messages de journal d’INFORMATIONS VPN SSL (ID d’événement 1079) indiquant que la connexion et l’attribution d’IP s’étaient terminées avec succès. »
Au cours des étapes suivantes, les auteurs de la menace se sont livrés à des attaques de chiffrement rapides ciblant principalement les machines virtuelles et leurs sauvegardes.
Le vol de données dans les systèmes piratés impliquait des documents et des logiciels propriétaires, mais les auteurs de la menace ne se souciaient pas des fichiers datant de plus de six mois, ou de 30 mois pour les fichiers plus sensibles.
Lancé en mai 2024, le ransomware Fog est une opération en pleine croissance dont les affiliés ont tendance à utiliser des informations d’identification VPN compromises pour l’accès initial.
Akira, un acteur beaucoup plus établi dans le domaine des ransomwares, a récemment eu des problèmes d’accès au site Web Tor, comme l’a observé Breachtrace, mais ceux-ci reviennent progressivement en ligne maintenant.