Cibercriminales han intentado explotar una vulnerabilidad presente en el firewall de Sophos XG para distribuir ransomware a las máquinas con Windows, pero fueron bloqueados por una revisión emitida por Sophos.
A finales de abril, los piratas informáticos utilizaron una vulnerabilidad de inyección SQL de día cero que conduce a la ejecución remota de código en los firewalls Sophos XG.
Los atacantes utilizaron esta vulnerabilidad para instalar varios archivos binarios y scripts ELF que Sophos denomina Trojan Asnarök.
Este troyano se usó para robar datos del firewall que podría haber permitido a los atacantes comprometer la red de forma remota.
Estos datos incluyen:
- La licencia del firewall y el número de serie.
- Una lista de las direcciones de correo electrónico de las cuentas de usuario que se almacenaron en el dispositivo, seguida del correo electrónico principal que pertenece a la cuenta de administrador del firewall.
- Los nombres de los usuarios del cortafuegos, los nombres de usuario, la forma encriptada de las contraseñas y el hash SHA256 salado de la contraseña de la cuenta del administrador. Las contraseñas no se almacenaron en texto sin formato.
- Una lista de las ID de usuario que pueden usar el firewall para SSL VPN y las cuentas que tienen permiso para usar una conexión VPN «sin cliente».
Una vez que se descubrieron estos ataques, Sophos liberó un parche de seguridad en los firewalls con el que erradicó la vulnerabilidad de inyección SQL, y que eliminó también los scripts maliciosos.
En un nuevo informe emitido por Sophos, se detalla que apenas horas después de que Sophos lanzó su revisión, los atacantes revisaron su ataque para distribuir el Ragnarok Ransomware en máquinas Windows sin parches en la red.
Primero comenzaron a alterar sus scripts en firewalls pirateados para usar un ‘interruptor de hombre muerto’ que activaría un ataque de ransomware en un momento posterior si se eliminaba un archivo en particular y se reiniciaba el dispositivo.
Afortunadamente, la revisión de Sophos frustrado este ataque al eliminar los componentes necesarios sin necesidad de reiniciar el firewall, lo que llevó a los atacantes a alterar sus planes una vez más.
«Posiblemente al darse cuenta de que su descarga de ransomware no estaba siendo iniciada por el interruptor del hombre muerto, tal vez debido a la falta de reinicio, los atacantes parecen haber reaccionado cambiando algunos de los scripts de shell entregados durante una etapa anterior del ataque, incluyendo reemplazar el módulo de robo de datos 2own con la carga útil del ransomware «, explica Sophos en su informe.
En este nuevo ataque, los atacantes intentaron expulsar inmediatamente el Ragnarok Ransomware a las máquinas vulnerables de Windows en la red. Ragnarok es un ransomware dirigido a objetivos empresariales cuyos operadores explotaron vulnerabilidades en dispositivos de puerta de enlace ADC de Citrix en el pasado para implementar ransomware. Para implementar el ransomware, planearon usar la ejecución remota de código EternalBlue y las vulnerabilidades de DoublePulsar CIA para copiar malware en una máquina vulnerable de Windows e inyectarlo en el proceso de explorer.exe existente. Una vez inyectado, el ransomware comenzaría a cifrar los archivos en la máquina vulnerable y dejaría una nota de rescate con instrucciones sobre cómo pagar el rescate.
La buena noticia es que la revisión evitó todos estos ataques lanzados por Sophos a los firewalls. Sin embargo, estos ataques ilustran cómo los actores de amenazas apuntan a dispositivos perimetrales para obtener acceso a una red o implementar malware. Por lo tanto, siempre es esencial asegurarse de que estos dispositivos tengan instaladas las últimas actualizaciones de seguridad. Si los dispositivos perimetrales ofrecen la posibilidad de instalar nuevas actualizaciones de seguridad a medida que se lanzan automáticamente, esta opción debe usarse para evitar que una actualización perdida se convierta en una violación grave.
Referencias: