Μία hacking ομάδα με οικονομικά κίνητρα εκμεταλλεύτηκε μία zero-day ευπάθεια στις συσκευές SMA 100 Series VPN της SonicWall, έχοντας ως στόχο να αναπτύξει ένα νέο ransomware γνωστό με την ονομασία “FiveHands” στα δίκτυα στόχων που εδρεύουν στη Βόρεια Αμερική και την Ευρώπη.
Η hacking ομάδα, την οποία οι αναλυτές απειλών της Mandiant ονόμασαν “UNC2447”, εκμεταλλεύτηκε την ευπάθεια CVE-2021-20016 για να παραβιάσει δίκτυα και να αναπτύξει FiveHands ransomware payloads πριν από την κυκλοφορία ενημερώσεων κώδικα στα τέλη Φεβρουαρίου.
Διαβάστε επίσης: Η SonicWall κυκλοφορεί πρόσθετο update για την ευπάθεια SMA 100
Προτού αναπτύξει τα ransomware payloads, η UNC2447 παρατηρήθηκε επίσης ότι χρησιμοποίησε εμφυτεύματα Cobalt Strike για να αποκτήσει επιμονή και να εγκαταστήσει μία παραλλαγή του SombRAT backdoor, malware που εντοπίστηκε για πρώτη φορά στην εκστρατεία του CostaRicto που συντονίστηκε από μια ομάδα μισθοφόρων χάκερς.
Η zero-day ευπάθεια εκμεταλλεύτηκε επίσης σε επιθέσεις που είχαν ως στόχο τα εσωτερικά συστήματα της SonicWall τον Ιανουάριο.
Το ransomware “FiveHands” που αναπτύσσεται σε επιθέσεις της UNC2447, παρατηρήθηκε για πρώτη φορά στο τοπίο των απειλών τον Οκτώβριο του 2020. Έχει αρκετές ομοιότητες με το ransomware “HelloKitty”. Το πρώτο χρησιμοποιήθηκε για την κρυπτογράφηση των συστημάτων της CD Projekt Red, του στούντιο ανάπτυξης βιντεοπαιχνιδιών, με τους επιτιθέμενους αργότερα να ισχυρίζονται ότι έκλεψαν τον πηγαίο κώδικα για τα Cyberpunk 2077, Witcher 3, Gwent και μια ακυκλοφόρητη έκδοση του Witcher 3.
Δείτε ακόμη: CD Projekt Red: Ransomware επίθεση στον δημιουργό του Cyberpunk 2077!
Αυτή η ransomware επιχείρηση έχει στοχεύσει και άλλες μεγάλες εταιρείες παγκοσμίως, συμπεριλαμβανομένης της βραζιλιάνικης εταιρείας ηλεκτρικής ενέργειας “CEMIG” (Companhia Energética de Minas Gerais).
Η Mandiant παρατήρησε ότι η δραστηριότητα του HelloKitty μειώθηκε αργά ξεκινώντας από τον Ιανουάριο του 2021 όταν άρχισε να αυξάνεται η χρήση του FiveHands σε επιθέσεις. Επιπλέον, η εταιρεία εκτιμά ότι το HelloKitty μπορεί να έχει χρησιμοποιηθεί από τον Μάιο του 2020 έως τον Δεκέμβριο του 2020 και το FiveHands από περίπου τον Ιανουάριο του 2021.
Η Mandiant έχει συνδέσει τα δύο ransomware όχι μόνο λόγω της δυνατότητας κοινής χρήσης, της λειτουργικότητας και των ομοιοτήτων στο coding, αλλά και λόγω του ότι νωρίτερα αυτό το μήνα παρατήρησε ένα FiveHands ransomware Tor chat που χρησιμοποιούσε HelloKitty favicon.
Σε έκθεση που δημοσιεύτηκε στις 29 Απριλίου, η Mandiant ανέφερε ότι η UNC2447 αποκομίζει κέρδη από εισβολές εκβιάζοντας τα θύματά της πρώτα με το FiveHands ransomware, ενώ στη συνέχεια απειλεί ότι θα διαθέσει τα δεδομένα των θυμάτων προς πώληση σε hacking φόρουμ. Επεσήμανε ακόμη ότι η hacking ομάδα έχει παρατηρηθεί ότι στοχεύει οργανισμούς στην Ευρώπη και τη Βόρεια Αμερική και έχει επιδείξει ότι έχει προηγμένες δυνατότητες ώστε να μπορεί να αποφεύγει τον εντοπισμό.
Πρόταση: Coveware: Τα λύτρα που πληρώνουν τα θύματα των επιθέσεων ransomware έχουν αυξηθεί
Επιπλέον, συνεργάτες της UNC2447 έχουν επίσης παρατηρηθεί ότι ανέπτυξαν δραστηριότητα με το Ragnar Locker ransomware σε προηγούμενες επιθέσεις.
Τον Μάρτιο, οι αναλυτές της Mandiant ανακάλυψαν τρεις ακόμη zero-day ευπάθειες σε προϊόντα της SonicWall.
Αυτές οι ευπάθειες εκμεταλλεύτηκαν από μια άλλη hacking ομάδα – την “UNC2682” – με στόχο την εγκατάσταση backdoor σε συστήματα με την χρήση Behinder web shells, αλλά και την κίνηση πλευρικά στα δίκτυα των θυμάτων και την απόκτηση πρόσβασης σε email και αρχεία.
Πηγή πληροφοριών: bleepingcomputer.com
