Hackere prøvde 2 metoder for å utnytte en null-dagers sårbarhet i Sophos’ XG brannmur, men Sophos sier at det gjorde en midlertidig løsning som reduserte risikoen.
Angripere forsøkte opprinnelig å plante en trojaner i nettverk ved å utnytte nulldagssårbarheten, men byttet så til løsepengevare.
XG-brannmurene som mottok en hurtigreparasjon var i stand til å blokkere angrepene, inkludert løsepengevare, som selskapet identifiserte som Ragnarok.
Denne kryptolåsende malware ble først lagt merke til i januar, da sikkerhetsfirmaet FireEye publiserte en rapport om det, bemerket at operatørene prøvde å utnytte feilene i Citrixs ADC- og Gateway-servere på den tiden.
Sophos oppdaget den første bølgen av disse angrepene i april da hackerne forsøkte å utnytte en null-dagers SQL-injeksjonssårbarhet i XG-brannmurproduktene.
CVE-2020-12271, tillot angriperne å målrette brannmurens innebygde PostgreSQL-databaseserver, så lar hackerne injisere en enkelt linje med Linux-kode i databaser som gjør dem i stand til å plante skadevare i sårbare nettverk.
Angriperne forsøkte å plante en trojaner kalt Asnarök, som gjør det mulig for trusselaktører å stjele brukernavn og hashet-passord.
Da Sophos-analytikere begynte å legge merke til angrepene som utspilte seg, skyndte de seg ut med en midlertidig løsning til kundene..
Hackerne forsøkte deretter å bytte taktikk.
Under de første angrepene i april, hackerne etterlot seg det Sophos kaller en “backup kanal” og andre ondsinnede filer som ville tillate angriperne å gå inn i et nettverk igjen hvis de hadde blitt oppdaget og blokkert.
Da Sophos blokkerte det første brannmurangrepet med en hurtigreparasjon, hackerne forsøkte å utnytte EternalBlue-sårbarheten i eldre versjoner av Microsoft Windows og DoublePulsar bakdørs malware for å komme inn i nettverk igjen og plante Ragnarok løsepengeprogramvare.
Hurtigreparasjonen forhindret hackerne i å utføre dette nyere angrepet fordi den deaktiverte de skadelige filene.
Kilde: https://www.instagram.com/p/CAiSyUZAP6J/
