Código HTML do Conteúdo

Post: Akira Ransomware explora falha de um ano da SonicWall com vários vetores - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <h2>Akira Ransomware explora falha de um ano da SonicWall com vários vetores</h2> <h2>Os pesquisadores alertam que o grupo de ransomware Akira está explorando uma falha de firewall da SonicWall de um ano, provavelmente usando três vetores de ataque para acesso inicial.</h2> O <a href="https://securityaffairs.com/157371/breaking-news/akira-ransomware-targets-finnish-organizations.html" target="_blank">Grupo de ransomware Akira</a> está explorando uma vulnerabilidade de firewall SonicWall de um ano, rastreada como <a href="https://securityaffairs.com/167595/security/sonicwall-sonicos-cve-2024-40766.html" target="_blank">CVE-2024-40766</a> (pontuação CVSS de 9,3), provavelmente usando três vetores de ataque para acesso inicial, de acordo com o Rapid7. “As evidências coletadas durante as investigações da Rapid7 sugerem que o grupo Akira está potencialmente utilizando uma combinação de todos esses três riscos de segurança para obter acesso não autorizado e conduzir operações de ransomware.” lê o <a href="https://www.rapid7.com/blog/post/dr-akira-ransomware-group-utilizing-sonicwall-devices-for-initial-access/" target="_blank">relatório</a> publicado pela Rapid7. A vulnerabilidade é um problema de controle de acesso impróprio que reside no acesso de gerenciamento do SonicWall SonicOS. Um invasor pode explorar o problema para obter acesso não autorizado aos dispositivos. A SonicWall abordou a falha crítica em seus firewalls em agosto de 2024, e a CISA dos EUA <a href="https://securityaffairs.com/168251/security/u-s-cisa-adds-sonicwall-sonicos-imagemagick-and-linux-kernel-bugs-to-its-known-exploited-vulnerabilities-catalog.html" target="_blank">Adicionado</a> ele para o seu<a href="https://www.cisa.gov/known-exploited-vulnerabilities-catalog" target="_blank">Catálogo de vulnerabilidades exploradas conhecidas (KEV)</a> em setembro de 2024. Em agosto de 2025, a SonicWall<a href="https://securityaffairs.com/180803/security/sonicwall-investigates-possible-zero-day-amid-akira-ransomware-surge.html" target="_blank">investigado alegações de um dia zero</a>sendo usado em ataques de ransomware, mas não encontrou evidências de qualquer nova vulnerabilidade em seus produtos. A SonicWall lançou a investigação após um aumento na<a href="https://securityaffairs.com/180724/cyber-crime/akira-ransomware-targets-sonicwall-vpns-in-likely-zero-day-attacks.html" target="_blank">Ataques ransomware Akira</a>visando firewalls Gen 7 com SSLVPN habilitado. A empresa trabalhou para determinar se os incidentes decorrem de uma falha existente ou de uma vulnerabilidade recém-descoberta. A SonicWall confirmou mais tarde que não há dia zero envolvido em ataques recentes de ransomware, mas sim a exploração de uma falha conhecida,<a href="https://securityaffairs.com/170359/cyber-crime/fog-akira-ransomware-sonicwall-vpn-flaw.html" target="_blank">CVE-2024-40766</a>. Embora muitos sistemas tenham sido corrigidos, os invasores ainda podem acessá-los se as credenciais não forem alteradas. Menos de 40 incidentes relacionados estão sob investigação da SonicWall, principalmente ligados a migrações de firewall. “Agora temos grande confiança de que a recente atividade do SSLVPN énão conectado a uma vulnerabilidade de dia zero. Em vez disso, há uma correlação significativa com a atividade de ameaças relacionada ao CVE-2024-40766, que foi divulgada anteriormente e documentada em nosso comunicado público<a href="https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015" target="_blank">SNWLID-2024-0015</a>.” lê o<a href="https://www.sonicwall.com/support/notices/gen-7-and-newer-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430" target="_blank">Consultivo</a>publicado pelo fornecedor de segurança. “Atualmente, estamos investigando menos de 40 incidentes relacionados a essa atividade cibernética. Muitos dos incidentes estão relacionados a migrações de firewalls Gen 6 para Gen 7, em que as senhas de usuários locais foram transferidas durante a migração e não redefinidas. A redefinição de senhas foi uma etapa crítica descrita no<a href="https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015" target="_blank">Assessoria Original</a>. “ A SonicWall emitiu novas orientações sobre o risco do grupo de usuários padrão SSLVPN, que pode conceder acesso não autorizado em determinadas configurações LDAP. O Rapid7 também encontrou agentes de ameaças abusando do Portal do Virtual Office para configurar MFA/TOTP com credenciais expostas. As evidências sugerem que o ransomware Akira está explorando uma mistura dessas falhas para ataques. “As evidências coletadas durante as investigações da Rapid7 sugerem que o grupo Akira está potencialmente utilizando uma combinação de todos esses três riscos de segurança para obter acesso não autorizado e conduzir operações de ransomware.” continua o relatório. A Rapid7 recomenda que os usuários da SonicWall protejam contas, habilitem a MFA, corrijam o risco de grupos padrão SSLVPN, restrinjam e monitorem o Portal do Virtual Office e apliquem patches de segurança. O<a href="https://securityaffairs.com/148007/cyber-crime/akira-ransomware-decryptor.html" target="_blank">Akira ransomware</a>está ativo desde março de 2023, os agentes de ameaças por trás do malware afirmam já ter hackeado várias organizações em vários setores, incluindo educação, finanças e imóveis. Como outras gangues de ransomware, o grupo desenvolveu um criptografador Linux para atingir servidores VMware ESXi. Siga-me no Twitter:<a href="https://twitter.com/securityaffairs" target="_blank">@securityaffairs</a>e<a href="https://www.facebook.com/sec.affairs" target="_blank">Linkedin</a>e<a href="https://infosec.exchange/@securityaffairs" target="_blank">Mastodonte</a> <a href="http://www.linkedin.com/pub/pierluigi-paganini/b/742/559" target="_blank">PierluigiPaganini</a> (<a href="http://securityaffairs.co/wordpress/" target="_blank">Assuntos de Segurança</a>–hacking,Akira ransomware) <hr> <hr> </div></div>