Двойная угроза SonicWall: взлом облачных бэкапов и атаки шифровальщика Akira

Компания SonicWall сообщила о нарушении безопасности, в ходе которого неизвестные злоумышленники получили доступ к файлам резервных копий конфигураций межсетевых экранов. Атака была осуществлена методом перебора (brute-force) на облачный сервис MySonicWall и затронула менее 5% клиентов компании. Хотя учетные данные в скомпрометированных файлах были зашифрованы, другая содержащаяся в них информация может быть использована для облегчения будущих атак.
Двойная угроза SonicWall: взлом облачных бэкапов и атаки шифровальщика Akira
Изображение носит иллюстративный характер

По заявлению SonicWall, инцидент не является атакой программы-вымогателя на корпоративную сеть компании. В настоящее время у компании нет данных о том, что скомпрометированные файлы были опубликованы в открытом доступе. Злоумышленники целенаправленно атаковали облачный сервис хранения бэкапов для получения доступа к файлам настроек оборудования клиентов.

SonicWall выпустила ряд рекомендаций для затронутых пользователей. В первую очередь, необходимо немедленно сбросить учетные данные. Для проверки, коснулся ли инцидент конкретного пользователя, следует войти в аккаунт на , проверить, включены ли облачные бэкапы, и убедиться в отсутствии пометок о компрометации на серийных номерах устройств.

Для минимизации рисков компания настоятельно советует ограничить доступ к сервисам из глобальной сети (WAN). Рекомендуется отключить доступ для управления через протоколы HTTP/HTTPS/SSH, а также деактивировать доступ к SSL VPN и IPSec VPN до завершения всех процедур по восстановлению безопасности.

Кроме того, необходимо сбросить все пароли и временные одноразовые пароли (TOTP), сохраненные на межсетевом экране. Пользователям следует тщательно проанализировать системные журналы и последние изменения в конфигурации на предмет выявления любой подозрительной активности, которая могла остаться незамеченной.

Компания предлагает затронутым клиентам импортировать предоставленные ею новые файлы настроек. Однако SonicWall делает важное предостережение: «Если последний файл настроек не соответствует вашим требуемым параметрам, пожалуйста, не используйте его». Это подчеркивает необходимость ручной проверки конфигурации перед ее применением.

Параллельно с этим инцидентом развивается отдельная кампания, проводимая группировкой вымогателей Akira. Эти злоумышленники активно эксплуатируют уязвимость годичной давности в неустановленных устройствах SonicWall для получения первоначального доступа к корпоративным сетям с целью последующего развертывания шифровальщика.

Целью атак Akira являются VPN-устройства SonicWall с уязвимостью, идентифицированной как CVE-2024-40766. Данная уязвимость имеет оценку 9.3 по шкале CVSS, что характеризует ее как критическую.

Специалисты по кибербезопасности из компании Huntress зафиксировали один из таких инцидентов. В ходе атаки злоумышленники Akira обнаружили на скомпрометированном устройстве текстовый файл, содержащий коды восстановления для программного обеспечения безопасности.

Используя эти коды, атакующие смогли обойти многофакторную аутентификацию (MFA), снизить видимость инцидента для средств мониторинга и предпринять попытки удаления защитных решений на конечных точках сети. Данный случай наглядно демонстрирует, насколько опасно хранить конфиденциальную информацию, такую как коды восстановления, в незашифрованном виде. Организации должны обращаться с кодами восстановления с той же степенью осторожности, что и с паролями от привилегированных учетных записей.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка