ช่องโหว่ SonicWall กลายเป็นประตูหลังให้แรนซัมแวร์เข้าถึงระบบ

ผู้ปฏิบัติการแรนซัมแวร์ Fog และ Akira กำลังโจมตีเครือข่ายองค์กรผ่านบัญชี VPN ของ SonicWall โดยใช้ประโยชน์จากช่องโหว่ CVE-2024-40766 ซึ่ง SonicWall ได้แก้ไขแล้วในเดือนสิงหาคม 2024 แต่กลุ่มโจมตียังคงใช้ช่องโหว่นี้ในการเข้าถึงระบบต่างๆ

นักวิจัยของ Arctic Wolf รายงานว่าทั้งสองกลุ่มได้บุกรุกเครือข่ายองค์กรไปแล้วอย่างน้อย 30 ครั้ง โดย 75% เกี่ยวข้องกับ Akira และที่เหลือกับ Fog การโจมตีมักเกิดขึ้นอย่างรวดเร็ว โดยใช้เวลาเพียง 10 ชั่วโมงจากการเข้าถึงจนถึงการเข้ารหัสข้อมูล

องค์กรที่ถูกโจมตีมักไม่เปิดใช้งานการตรวจสอบปัจจัยหลายประการบนบัญชี SSL VPN และไม่ได้อัปเดตระบบให้ปลอดภัย นอกจากนี้ ผู้โจมตียังมักใช้การเข้าถึงจากระยะไกล ทำให้ที่อยู่ IP ของตนไม่ถูกเปิดเผย การโจมตีเน้นไปที่เครื่องเสมือนและข้อมูลสำรอง โดยขโมยเอกสารและซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่ไม่สนใจไฟล์ที่มีอายุมากกว่า 6-30 เดือน

Fog ransomware เริ่มต้นขึ้นในเดือนพฤษภาคม 2024 และกลุ่มนี้มักใช้ข้อมูลรับรอง VPN ที่ถูกขโมยมาสำหรับการเข้าถึงครั้งแรก ขณะที่ Akira ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor แต่ตอนนี้ก็กลับมาออนไลน์อีกครั้งแล้ว

เรียบเรียงข้อมูลจาก https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/