Hackers aprovechan un fallo sin parchear de SonicWall en los ataques de ransomware de FiveHands

Publicado el 9 mayo 2021 ¬ 16:05 pmh.mscComentarios desactivados en Hackers aprovechan un fallo sin parchear de SonicWall en los ataques de ransomware de FiveHands

Un grupo de atacantes han aprovechado un fallo «zero-day» en los dispositivos VPN de SonicWall para desplegar una nueva cepa de ransomware denominada Fivehands.

El grupo de atacantes (UNC2447) se aprovechó del fallo en un producto que les permitía la ejecución remota de código sin necesidad de autenticarse. La vulnerabilidad ha sido identificado con el CVE-2021-20016 y obtiene una puntuación de 9,8 sobre 10.

«UNC2447 monetiza las intrusiones extorsionando a sus víctimas primero con el ransomware FIVEHANDS, seguido de una agresiva presión a través de amenazas de atención mediática y ofreciendo los datos de las víctimas para su venta en foros de hackers», dijeron los investigadores de Mandiant. «Se ha observado que UNC2447 se dirige a organizaciones de Europa y Norteamérica y ha mostrado constantemente capacidades avanzadas para evadir la detección y minimizar los análisis forenses posteriores a la intrusión.»

La explotación de la vulnerabilidad permite al atacante la capacidad de acceder a las credenciales de inicio de sesión, así como a la información de la sesión. Esta podría ser utilizada para iniciar sesión en dispositivos vulnerables de la seria SMA 100 que no estén parcheados.

Según la filial propiedad de FireEye, las intrusiones se produjeron en enero y febrero de 2021, y el actor de la amenaza utilizó un malware llamado SombRAT para desplegar el ransomware FIVEHANDS. Cabe señalar que SombRAT fue descubierto en noviembre de 2020 por investigadores de BlackBerry en relación con una campaña llamada CostaRicto emprendida por un grupo de hackers mercenarios.

Los ataques de UNC2447 con infecciones de ransomware se observaron por primera vez en octubre de 2020, comprometiendo inicialmente a los objetivos con el ransomware HelloKitty, antes de cambiarlo por Fivehands en enero de 2021. Por cierto, ambas cepas de ransomware, escritas en C++, son reescrituras de otro ransomware (con fines educativos) llamado DeathRansom.

 

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies