Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Hackers aprovechan un fallo sin parchear de SonicWall

Hackers aprovechan un fallo sin parchear de SonicWall

Por Deja un comentario

Un grupo de atacantes han aprovechado un fallo «zero-day» en los dispositivos VPN de SonicWall para desplegar una nueva cepa de ransomware denominada Fivehands.

El grupo de atacantes (UNC2447) se aprovechó del fallo en un producto que les permitía la ejecución remota de código sin necesidad de autenticarse. La vulnerabilidad ha sido identificado con el CVE-2021-20016 y obtiene una puntuación de 9,8 sobre 10.

«UNC2447 monetiza las intrusiones extorsionando a sus víctimas primero con el ransomware FIVEHANDS, seguido de una agresiva presión a través de amenazas de atención mediática y ofreciendo los datos de las víctimas para su venta en foros de hackers», dijeron los investigadores de Mandiant. «Se ha observado que UNC2447 se dirige a organizaciones de Europa y Norteamérica y ha mostrado constantemente capacidades avanzadas para evadir la detección y minimizar los análisis forenses posteriores a la intrusión.»

La explotación de la vulnerabilidad permite al atacante la capacidad de acceder a las credenciales de inicio de sesión, así como a la información de la sesión. Esta podría ser utilizada para iniciar sesión en dispositivos vulnerables de la seria SMA 100 que no estén parcheados.

Según la filial propiedad de FireEye, las intrusiones se produjeron en enero y febrero de 2021, y el actor de la amenaza utilizó un malware llamado SombRAT para desplegar el ransomware FIVEHANDS. Cabe señalar que SombRAT fue descubierto en noviembre de 2020 por investigadores de BlackBerry en relación con una campaña llamada CostaRicto emprendida por un grupo de hackers mercenarios.

Los ataques de UNC2447 con infecciones de ransomware se observaron por primera vez en octubre de 2020, comprometiendo inicialmente a los objetivos con el ransomware HelloKitty, antes de cambiarlo por Fivehands en enero de 2021. Por cierto, ambas cepas de ransomware, escritas en C++, son reescrituras de otro ransomware (con fines educativos) llamado DeathRansom.

Más información:

https://www.fireeye.com/blog/threat-research/2021/04/unc2447-sombrat-and-fivehands-ransomware-sophisticated-financial-threat.html

https://thehackernews.com/2021/04/hackers-exploit-sonicwall-zero-day-bug.html#comment-box

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

Acerca de Ignacio Navas

Ignacio Navas Ha escrito 33 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.