Ransomware-Gruppe zielt auf SonicWall-Sicherheitslücke vor Patch

Cyber Security News

Eine Ransomware-Gruppe, die auf eine kürzlich gepatchte SonicWall-Schwachstelle abzielte, nutzte diese Schwachstelle aus, bevor der Patch verfügbar war, berichtete Mandiant am Donnerstag. (SonicWall)

Eine Ransomware-Gruppe, die auf eine kürzlich gepatchte SonicWall-Schwachstelle abzielte, nutzte diese Schwachstelle aus, bevor der Patch verfügbar war, berichtete Mandiant am Donnerstag.

Die Schwachstelle, ein SQL-Injection-Bug in den SonicWall-Produkten der SMA-100-Serie für den Fernzugriff, wurde bereits in einem Angriff genutzt, der für Schlagzeilen sorgte. Hacker nutzten die Schwachstelle als Zero-Day, um in SonicWall selbst einzudringen, bevor der Patch im Januar angekündigt wurde. Die neuesten Erkenntnisse zeigen, dass eine andere Gruppe ebenfalls versucht hat, die Schwachstelle auszunutzen.

Mandiant beobachtete zuerst die Ransomware-Gruppe, die Mandiant als UNC2447 bezeichnete, die es auf SonicWall SMA-100-Kunden in den USA und Europa abgesehen hatte. Die Gruppe verwendet eine Kombination aus SombRAT und einer bisher nicht katalogisierten Variante der DeathRansom-Ransomware, die Mandiant als FIVEHANDS bezeichnet.

Mandiant-Forscher sahen, wie die Gruppe die FIVEHANDS-Malware im Januar einsetzte; die Gruppe ist jedoch älter und forensisch mit Hacks verbunden, bei denen der neu entdeckte Dropper WARPRISM und Colbalt Strike Beacon verwendet wurden. Mandiant glaubt auch, dass UNC2447 in der Vergangenheit die Ragnor Locker Ransomware verwendet hat.

FIVEHANDS scheint eine Affiliate-Ransomware zu sein, schrieb Mandiant, der Nachfolger einer anderen Neufassung von DeathRansom, bekannt als HelloKitty. Die HelloKitty-Ransomware wurde bekanntlich verwendet, um den Spieleentwickler CD Projekt Red zu überfallen. FIVEHANDS verbessert seine Vorgänger, indem es einen neuen, speicherbasierten Dropper verwendet und die Verschlüsselung auf eine breitere Palette von Dateitypen anwendet.

Da die Ransomware in Partnerprogrammen verwendet wird, könnten auch andere Gruppen sie einsetzen.

SombRAT wurde zuerst von Blackberry Cylance in der CostaRicto-Kampagne identifiziert, von der der Anbieter annahm, dass es sich um Auftragsspionage handeln könnte (oder auch nicht).

Die SonicWall-Schwachstelle betraf die 10.x-Firmware bis zum Update vom 23. Januar auf 10.2.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com