Ransomware-Angriffe auf Sonicwall SSL-VPNs

IT-Forscher haben Attacken auf Sonicwall SSL-VPNs untersucht und dabei Ransomware-Aktivitäten von Akira und Fog entdeckt.

In Pocket speichern vorlesen Druckansicht
Schwer bewaffnete Kriminelle stehen um Server, die zeigen Verschlüsselungssymbole. Menschen sitzen mt Laptops drum herum.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von

Die IT-Sicherheitsforscher von Arctic Wolf haben erhöhte Aktivitäten der Akira- und Fog-Ransomware beobachtet. Sie haben Schwachstellen in Sonicwalls SSL-VPNs für den Einstieg in Netzwerke missbraucht.

In einer ausführlichen Analyse erörtern die Arctiv-Wolf-Analysten, dass sie mindestens 30 Einbrüche mit Akira und Fog quer durch alle möglichen Branchen seit dem frühen August beobachtet haben. Sie alle haben gemein, dass Sonicwalls SSL-VPN früh in der Ereigniskette auftaucht.

Wie die IT-Forscher erklären, kamen die bösartigen VPN-Log-ins aus Netzwerken, die mit VPS-Hosting (Virtuelle Private Server) in Zusammenhang stehen. Das deutet darauf hin, dass entweder bei den Hosting-Providern Maschinen geknackt und missbraucht wurden, oder möglicherweise auch von den Cyberkriminellen direkt gemietet wurden. Die IP-Adressen lieferten einen guten Ansatzpunkt für die Verteidigung vor den Angriffen, um sie zu entdecken und zu blockieren.

Die Sonicwall-Geräte, durch die die Täter einbrechen konnten, waren allesamt nicht gegen die Schwachstelle CVE-2024-40766 gepatcht – mit einem CVSS-Wert von 9.3 gilt sie als kritisches Risiko. Anfang September warnte Sonicwall, dass diese Sicherheitslücke in den SSL-VPNs bereits aktiv angegriffen wird, und wies nochmals auf die verfügbaren Updates hin, die das Sicherheitsleck stopfen. Allerdings kann Arctic Wolf nicht konkret sagen, ob es tatsächlich diese Schwachstelle ist, die bei den Ransomware-Angriffen missbraucht wurden – aber der Patch-Stand liefert zumindest ein Indiz.

Die angegriffenen SSL-VPN-Konten waren lokal auf den Sonicwall-Geräten eingerichtet und nicht mit einer zentralen Authentifizierungssoftware wie Microsofts Active Directory verwaltet. Instanzen, auf denen Mehr-Faktor-Authentifizierung aktiviert war, fanden sich nicht unter den kompromittierten Konten. Zwar fanden sich einige Nachrichten mit INFO-Schweregrad, die Angreifer haben üblicherweise jedoch versucht, die Firewall-Protokolle zu löschen, nachdem sie unbefugten Zugriff erlangt haben.

Den Zeitraum vom Einbruch bis zur Verschlüsselung mit Ransomware stuft Arctic Wold als kurz ein. Meist sei die Verschlüsselung noch am gleichen Tag wie der Netzwerkeinbruch erfolgt, in einigen Fällen nur wenige Stunden danach. Die Angreifer haben Daten exfiltriert und zeigten dabei besonderes Interesse an potenziell sensibleren Dokumente aus den Personalabteilungen oder der Finanzabteilung, wovon sie bis zu 30 Monate alte Daten abzogen; allgemeinere Dokumente oder Anwendungen waren offenbar nur bis etwa sechs Monate in die Vergangenheit spannend.

Am Ende der Analyse liefern die IT-Sicherheitsforscher noch ausführliche Indicators of Compromise (IOCs), also Indizien für einen erfolgreichen Angriff. Das kann Admins helfen, ihre Systeme auf potenzielle Angriffe zu untersuchen.

(dmk)