Hekerji so poskusili 2 metode izkoriščanja ranljivosti ničelnega dne v Sophosu’ XG požarni zid, vendar Sophos pravi, da je naredil začasen popravek, ki je zmanjšal tveganja.
Napadalci so prvotno poskušali vstaviti trojanca v omrežja z izkoriščanjem ranljivosti zero-day, vendar je nato prešel na izsiljevalsko programsko opremo.
Požarni zidovi XG, ki so prejeli hitri popravek, so lahko blokirali napade, vključno z izsiljevalsko programsko opremo, ki ga je podjetje identificiralo kot Ragnarok.
Ta zlonamerna programska oprema za kripto zaklepanje je bila prvič opažena januarja, ko je varnostno podjetje FireEye objavilo poročilo o tem, ugotavlja, da so njegovi operaterji takrat poskušali izkoristiti napake v Citrixovih strežnikih ADC in Gateway.
Sophos je prvi val teh napadov zaznal aprila, ko so hekerji poskušali izkoristiti ranljivost zero-day injection SQL v izdelkih požarnega zidu XG..
CVE-2020-12271, je napadalcem omogočila ciljanje na vgrajeni strežnik baze podatkov požarnega zidu PostgreSQL, nato omogoči hekerjem, da v baze podatkov vbrizgajo eno samo vrstico kode Linux, kar bi jim omogočilo nameščanje zlonamerne programske opreme v ranljiva omrežja.
Napadalci so poskušali namestiti trojanca z imenom Asnarök, ki akterjem groženj omogoča krajo uporabniških imen in zgoščenih gesel.
Ko so Sophosovi analitiki začeli opažati, da se napadi odvijajo, so strankam pohiteli z začasnim popravkom.
Hekerji so nato poskušali zamenjati taktiko.
Med prvimi napadi aprila, hekerji so za seboj pustili, kar Sophos imenuje a “rezervni kanal” in druge zlonamerne datoteke, ki bi napadalcem omogočile ponoven vstop v omrežje, če bi bili odkriti in blokirani.
Ko je Sophos s hitrim popravkom blokiral prvi napad na požarni zid, hekerji so poskušali izkoristiti ranljivost EternalBlue v starejših različicah sistema Microsoft Windows in zlonamerno programsko opremo DoublePulsar za ponoven vstop v omrežja in namestiti izsiljevalsko programsko opremo Ragnarok.
Hitri popravek je hekerjem preprečil izvedbo tega novejšega napada, ker je onemogočil zlonamerne datoteke.
Vir: https://www.instagram.com/p/CAiSyUZAP6J/
