Un groupe de menaces «agressif» motivé financièrement a puisé dans une faille zero-day dans les appliances VPN SonicWall avant qu’il ne soit corrigé par la société pour déployer une nouvelle souche de ransomware appelée FIVEHANDS.
Le groupe, suivi par la société de cybersécurité Mandiant sous le nom UNC2447, a profité d’une faille de « neutralisation de commande SQL incorrecte » dans le produit SSL-VPN SMA100 (CVE-2021-20016, Score CVSS 9.8) qui permet à un attaquant non authentifié de réaliser l’exécution de code à distance.
«L’UNC2447 monétise les intrusions en extorquant d’abord leurs victimes avec le ransomware FIVEHANDS, puis en appliquant une pression agressive par le biais de menaces d’attention médiatique et en proposant des données sur les victimes à la vente sur des forums de pirates», les chercheurs de Mandiant mentionné. « UNC2447 a été observé ciblant des organisations en Europe et en Amérique du Nord et a constamment fait preuve de capacités avancées pour échapper à la détection et minimiser la criminalistique post-intrusion. »
CVE-2021-20016 est le même zéro jour qui, selon la firme basée à San Jose, a été exploitée par des «acteurs de la menace sophistiqués» pour organiser une «attaque coordonnée contre ses systèmes internes» plus tôt cette année. Le 22 janvier, The Hacker News a révélé en exclusivité que SonicWall avait été violé en exploitant des «vulnérabilités probables du jour zéro» dans ses dispositifs d’accès à distance de la série SMA 100.
Une exploitation réussie de la faille donnerait à un attaquant la possibilité d’accéder aux informations de connexion ainsi qu’aux informations de session qui pourraient ensuite être utilisées pour se connecter à une appliance de la série SMA 100 vulnérable non corrigée.
Selon la filiale appartenant à FireEye, les intrusions se seraient produites en janvier et février 2021, l’acteur menaçant utilisant un logiciel malveillant appelé SombRAT pour déployer le ransomware FIVEHANDS. Il convient de noter que SombRAT a été découvert en novembre 2020 par des chercheurs de BlackBerry dans le cadre d’une campagne appelée CostaRicto entreprise par un groupe de hackers mercenaires.
Les attaques UNC2447 impliquant des infections par ransomware ont été observées pour la première fois dans la nature en octobre 2020, compromettant initialement les cibles avec Hello Kitty ransomware, avant de l’échanger contre FIVEHANDS en janvier 2021. Incidemment, les deux souches de ransomware, écrites en C ++, sont des réécritures d’un autre ransomware appelé MortRansom.
« Sur la base des observations techniques et temporelles des déploiements HelloKitty et FIVEHANDS, HelloKitty a peut-être été utilisé par un programme d’affiliation global de mai 2020 à décembre 2020, et FIVEHANDS depuis environ janvier 2021 », ont déclaré les chercheurs.
FIVEHANDS diffère également de DeathRansom et HelloKitty par l’utilisation d’un compte-gouttes de mémoire seule et de fonctionnalités supplémentaires qui lui permettent d’accepter des arguments de ligne de commande et d’utiliser le Gestionnaire de redémarrage de Windows pour fermer un fichier actuellement utilisé avant le chiffrement.
La divulgation intervient moins de deux semaines après que FireEye a divulgué trois vulnérabilités jusque-là inconnues dans le logiciel de sécurité de messagerie de SonicWall qui ont été activement exploitées pour déployer un shell Web pour un accès par porte dérobée à la victime. FireEye suit cette activité malveillante sous le nom UNC2682.