Hackerii au încercat 2 metode de exploatare a unei vulnerabilități zero-day în Sophos’ Firewall XG, dar Sophos spune că a făcut o remediere temporară care a atenuat riscurile.
Atacatorii au încercat inițial să planteze un troian în rețele exploatând vulnerabilitatea zero-day, dar apoi a trecut la ransomware.
Firewall-urile XG care au primit o remediere rapidă au putut bloca atacurile, inclusiv ransomware-ul, pe care compania l-a identificat drept Ragnarok.
Acest malware de criptoblocare a fost observat pentru prima dată în ianuarie, când firma de securitate FireEye a publicat un raport despre aceasta, menționând că operatorii săi încercau să profite de defecte ale serverelor ADC și Gateway Citrix la acea vreme.
Sophos a detectat primul val al acestor atacuri în aprilie, când hackerii încercau să profite de o vulnerabilitate de injectare SQL zero-day în produsele firewall XG.
CVE-2020-12271, a permis atacatorilor să vizeze serverul de baze de date PostgreSQL încorporat în firewall, apoi permițând hackerilor să injecteze o singură linie de cod Linux în bazele de date care le-ar permite să planteze malware în rețelele vulnerabile.
Atacatorii au încercat să planteze un troian numit Asnarök, care le permite actorilor de amenințări să fure nume de utilizator și parole codificate.
Când analiștii Sophos au început să observe atacurile care se desfășoară, au luat o soluție temporară pentru clienții săi..
Hackerii au încercat apoi să schimbe tactica.
În timpul atacurilor inițiale din aprilie, hackerii au lăsat în urmă ceea ce Sophos numește a “canal de rezervă” și alte fișiere rău intenționate care ar permite atacatorilor să reintre într-o rețea dacă ar fi fost detectați și blocați.
Când Sophos a blocat primul atac de firewall cu o remediere rapidă, hackerii au încercat să folosească vulnerabilitatea EternalBlue din versiunile mai vechi de Microsoft Windows și malware-ul DoublePulsar pentru a reintra în rețele și a instala ransomware-ul Ragnarok..
Remedierea rapidă a împiedicat hackerii să execute acest atac mai nou, deoarece a dezactivat fișierele rău intenționate.
Sursă: https://www.instagram.com/p/CAiSyUZAP6J/
