Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Уязвимости в SonicWall эксплуатировались для заражения вымогателем FiveHands

04/05/21

SonicWall-2Преследующие финансовую выгоду киберпреступники эксплуатировали уязвимость в SonicWall SMA 100 Series VPN для развертывания в сетях североамериканских и европейских организаций вымогательского ПО FiveHands. Группировка, отслеживаемая ИБ-компанией Mandiant как UNC2447, использовала уязвимость CVE-2021-20016 до того, как она была исправлена производителем в феврале 2021 года. Эта же уязвимость эксплуатировалась в январе 2021 года для атаки на внутренние системы SonicWall.

По словам специалистов, перед развертыванием вымогательского ПО злоумышленники сохраняли персистентность в атакуемой сети с помощью Cobalt Strike и устанавливали бэкдор SombRAT.

Само вымогательское ПО FiveHands было впервые обнаружено в октябре 2020 года. Вымогатель напоминает вымогательское ПО HelloKitty, которое так же, как и FiveHands, является модифицированной версией DeathRansom. С января 2021 года количество кибератак с использованием HelloKitty начало снижаться, когда на арену вышел вымогатель FiveHands.

В отличие от HelloKitty и DeathRansom новый вымогатель оснащен несколькими дополнительными функциями. Кроме того, с помощью диспетчера перезапуска Windows вымогатель FiveHands способен закрывать используемый в данный момент файл, чтобы его можно было разблокировать и успешно зашифровать.

Как пояснили специалисты Mandiant, UNC2447 монетизирует свои атаки, сначала вымогая у своих жертв выкуп за восстановление зашифрованных FiveHands файлов, а затем оказывая на них агрессивное давление с помощью угроз привлечения внимания СМИ и продажи похищенных данных. Партнеры FiveHands в прошлых атаках также использовали вымогательское ПО Ragnar Locker.

Темы:ПреступленияВымогателиSonicWall
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...