Le ransomware HelloKitty cible les appareils SonicWall vulnérables

0

CISA met en garde contre les individus malveillants ciblant « une vulnérabilité connue, précédemment corrigée » trouvée dans les produits SonicWall Secure Mobile Access (SMA) 100 et Secure Remote Access (SRA) avec un micrologiciel en fin de vie.

Comme l’agence fédérale américaine l’ajoute également, les attaquants peuvent exploiter cette faille de sécurité dans le cadre d’une attaque de ransomware ciblée.

Cette alerte intervient après que SonicWall ait publié un « avis de sécurité urgent » et envoyé des e-mails pour avertir les clients du « risque imminent d’une attaque de ransomware ciblée« .

Même si la société a déclaré que le risque d’attaques par ransomware est imminent, le PDG de Coveware, Bill Siegel, a confirmé l’avertissement de CISA disant que la campagne est en cours.

CISA recommande aux utilisateurs et administrateurs de consulter l’avis de sécurité de SonicWall et de mettre à niveau leurs appareils vers le dernier micrologiciel ou de déconnecter immédiatement tous les appareils en fin de vie.

HelloKitty: l’un des groupes à l’origine de ces attaques

Alors que CISA et SonicWall n’ont pas révélé l’identité des attaquants derrière ces attaques, certains chercheurs en cybersécurité pensent que HelloKitty exploitait la vulnérabilité au cours des dernières semaines.

La société de cybersécurité CrowdStrike a également confirmé que les attaques en cours sont attribuées à plusieurs pirates informatiques, dont HelloKitty.

HelloKity est une opération de ransomware active depuis novembre 2020, principalement connue pour crypter les systèmes de CD Projekt Red et prétendre avoir volé le code source de Cyberpunk 2077, Witcher 3, Gwent et d’autres jeux.

Même si le bogue abusé pour compromettre les produits non corrigés SMA et SRA(en fin de vie) n’a pas été divulgué dans l’avertissement de CISA ou l’avis de SonicWall, la chercheuse en sécurité de CrowdStrike, Heather Smith, a déclaré que la vulnérabilité ciblée est suivie comme CVE-2019-7481.

« Cette exploitation cible une vulnérabilité connue de longue date qui a été corrigée dans les nouvelles versions du micrologiciel publiées au début de 2021 », a déclaré SonicWall dans un communiqué envoyé par courrier électronique.

Cependant, Heather Smith et Hanno Heinrichs de CrowdStrike ont déclaré dans un rapport publié le mois dernier que « les équipes de réponse aux incidents de CrowdStrike Services ont identifié le groupe eCrime tirant parti d’une ancienne vulnérabilité VPN de SonicWall(CVE-2019-7481), qui affecte les 4600 appareils Secure Remote Access (SRA).

SonicWall a crédité les deux chercheurs en sécurité d’avoir signalé la faille de sécurité activement exploitée dans un avis de sécurité publié récemment.

Selon un rapport de Coveware, le ransomware Babuk cible également les VPN de SonicWall probablement vulnérables aux exploits CVE-2020-5135. Cette vulnérabilité a été corrigée en octobre 2020, mais elle est toujours « fortement abusée par les groupes de ransomware aujourd’hui » selon Coveware.

Ransomware vs appareils SonicWall

Un groupe de menaces suivi par Mandiant sous le nom de UNC2447 a également exploité la faille zero-day CVE-2021-20016 dans les appliances VPN SMA 100 Series de SonicWall pour déployer une nouvelle souche de ransomware connue sous le nom de FiveHands (une variante de DeathRansom tout comme HelloKitty).

Leurs attaques visaient plusieurs cibles nord-américaines et européennes avant que SonicWall ne publie des correctifs à la fin du mois de Février 2021.

La même faille zero-day a également été abusé en Janvier lors d’attaques visant les systèmes internes de SonicWall et plus tard exploité sans discernement dans la nature.

Les analystes des menaces de Mandiant ont découvert trois autres vulnérabilités zero-day dans les produits de sécurité du courrier électronique (ES) sur site et hébergés de SonicWall en Mars.

Ces trois failles zero-days ont également été activement exploitées par un groupe que Mandiant piste comme UNC2682 vers des systèmes de porte dérobée utilisant des shells Web BEHINDER, leur permettant de se déplacer latéralement sur les réseaux des victimes et d’accéder aux e-mails et aux fichiers.

« L’adversaire a exploité ces vulnérabilités, avec une connaissance intime de l’application SonicWall, pour installer une porte dérobée, accéder aux fichiers et aux e-mails, et se déplacer latéralement dans le réseau de l’organisation victime », ont déclaré les chercheurs de Mandiant à l’époque.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire