Hakerzy próbowali 2 metody wykorzystania luki zero-day w Sophos’ Zapora sieciowa XG, ale Sophos twierdzi, że wprowadził tymczasowe rozwiązanie, które złagodziło ryzyko.
Pierwotnie atakujący próbowali umieścić trojana w sieciach, wykorzystując lukę dnia zerowego, ale potem przerzuciłem się na oprogramowanie ransomware.
Zapory ogniowe XG, które otrzymały poprawkę, były w stanie blokować ataki, łącznie z oprogramowaniem ransomware, który firma zidentyfikowała jako Ragnarok.
To szkodliwe oprogramowanie szyfrujące zostało po raz pierwszy zauważone w styczniu, kiedy firma zajmująca się bezpieczeństwem FireEye opublikowała raport na ten temat, zauważając, że jego operatorzy próbowali w tamtym czasie wykorzystać wady serwerów ADC i Gateway firmy Citrix.
Sophos wykrył pierwszą falę tych ataków w kwietniu, kiedy hakerzy próbowali wykorzystać lukę w zabezpieczeniach polegającą na wstrzykiwaniu SQL typu zero-day w produktach firewall XG.
CVE-2020-12271, umożliwiło atakującym zaatakowanie wbudowanego w zaporę serwera bazy danych PostgreSQL, następnie umożliwienie hakerom wstrzyknięcia do baz danych pojedynczej linii kodu systemu Linux, co umożliwi im umieszczenie złośliwego oprogramowania w podatnych na ataki sieciach.
Napastnicy próbowali umieścić trojana o nazwie Asnarök, który umożliwia cyberprzestępcom kradzież nazw użytkowników i zaszyfrowanych haseł.
Kiedy analitycy Sophos zaczęli zauważać rozwój ataków, pośpieszyli z tymczasowym rozwiązaniem dla swoich klientów.
Następnie hakerzy próbowali zmienić taktykę.
Podczas pierwszych ataków w kwietniu, hakerzy pozostawili po sobie to, co Sophos nazywa a “kanał zapasowy” oraz inne złośliwe pliki, które umożliwiłyby atakującym ponowne wejście do sieci, gdyby zostali wykryci i zablokowani.
Kiedy Sophos zablokował pierwszy atak zapory ogniowej za pomocą poprawki, hakerzy próbowali wykorzystać lukę EternalBlue w starszych wersjach systemu Microsoft Windows i złośliwe oprogramowanie typu backdoor DoublePulsar, aby ponownie przedostać się do sieci i zainstalować oprogramowanie ransomware Ragnarok.
Poprawka uniemożliwiła hakerom wykonanie tego nowszego ataku, ponieważ wyłączyła złośliwe pliki.
Źródło: https://www.instagram.com/p/CAiSyUZAP6J/
