Un grupo de amenazas «agresivo» motivado financieramente aprovechó una falla de día cero en los dispositivos VPN de SonicWall antes de que la empresa los parcheara para implementar una nueva variedad de ransomware llamada FIVEHANDS.

El grupo, rastreado por la firma de seguridad cibernética Mandiant como UNC2447, aprovechó una falla de «neutralización de comando SQL incorrecta» en el producto SSL-VPN SMA100 (CVE-2021-20016, puntaje CVSS 9.8) que permite que un atacante no autenticado logre la ejecución remota de código. .

«UNC2447 monetiza las intrusiones extorsionando a sus víctimas primero con el ransomware FIVEHANDS, seguido de una presión agresiva a través de amenazas de atención de los medios y ofreciendo datos de las víctimas a la venta en foros de piratas informáticos», dijeron los investigadores de Mandiant. «Se ha observado que UNC2447 apunta a organizaciones en Europa y América del Norte y ha mostrado constantemente capacidades avanzadas para evadir la detección y minimizar el análisis forense posterior a la intrusión».

CVE-2021-20016 es el mismo día cero que, según la empresa con sede en San José, fue explotado por «actores de amenazas sofisticados» para organizar un «ataque coordinado en sus sistemas internos» a principios de este año. El 22 de enero, The Hacker News reveló en exclusiva que SonicWall había sido violado al explotar «probables vulnerabilidades de día cero» en sus dispositivos de acceso remoto de la serie SMA 100.

La explotación exitosa de la falla le otorgaría a un atacante la capacidad de acceder a las credenciales de inicio de sesión, así como a la información de la sesión que luego podría usarse para iniciar sesión en un dispositivo vulnerable de la serie SMA 100 sin parches.

Según la subsidiaria propiedad de FireEye, se dice que las intrusiones ocurrieron en enero y febrero de 2021, y el actor de amenazas usó un malware llamado SombRAT para implementar el ransomware FIVEHANDS. Vale la pena señalar que SombRAT fue descubierto en noviembre de 2020 por investigadores de BlackBerry junto con una campaña llamada CostaRicto realizada por un grupo de piratas informáticos mercenarios.

Los ataques UNC2447 que involucran infecciones de ransomware se observaron por primera vez en la naturaleza en octubre de 2020, inicialmente comprometiendo objetivos con el ransomware HelloKitty, antes de cambiarlo por FIVEHANDS en enero de 2021. Por cierto, ambas cepas de ransomware, escritas en C ++, son reescrituras de otro ransomware llamado DeathRansom.

«Según las observaciones técnicas y temporales de las implementaciones de HelloKitty y FIVEHANDS, es posible que HelloKitty haya sido utilizado por un programa de afiliados general desde mayo de 2020 hasta diciembre de 2020, y FIVEHANDS desde aproximadamente enero de 2021», dijeron los investigadores.

FIVEHANDS también difiere de DeathRansom y HelloKitty en el uso de un cuentagotas de solo memoria y características adicionales que le permiten aceptar argumentos de línea de comandos y utilizar Windows Restart Manager para cerrar un archivo actualmente en uso antes del cifrado.

La divulgación se produce menos de dos semanas después de que FireEye divulgara tres vulnerabilidades previamente desconocidas en el software de seguridad de correo electrónico de SonicWall que se explotaron activamente para implementar un shell web para el acceso de puerta trasera a la víctima. FireEye está rastreando esta actividad maliciosa bajo el alias UNC2682.