Arctic Wolf Labs verfolgt seit Anfang August 2024 eine deutliche Zunahme von Fog- und Akira-Ransomware-Fällen, bei denen der erste Zugang zu den Umgebungen der Opferunternehmen über „SonicWall SSL VPN“-Konten erfolgt. Die Datenauswertung zeigt, dass Unternehmen unterschiedlicher Zielbranchen und Größenordnungen betroffen sind, so dass die Arctic-Wolf-Experten von einem opportunistischen, branchenunabhängigen Vorgehen der Bedrohungsakteure ausgehen.
Am 6. September 2024 gab Sonicwall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese Schwachstelle in den von Arctic Wolf untersuchten Fällen ausgenutzt wurde, jedoch verfügten alle Sonicwall-Geräte, die in diese Fälle verwickelt waren, über Firmware-Versionen, die von dieser Schwachstelle betroffen sind. Obwohl in einigen Angriffsfällen der Missbrauch von Anmeldeinformationen nicht ausgeschlossen werden kann, unterstreicht der Trend der zunehmenden Bedrohungsaktivitäten bei Sonicwall-Geräten die Notwendigkeit, Firmware-Updates durchzuführen und eine externe Protokollüberwachung zu implementieren.
Die wichtigsten Erkenntnisse:
- Arctic Wolf hat seit Anfang August eine Zunahme von mindestens 30 Akira- und Fog-Fällen in einer Vielzahl von Branchen beobachtet, die alle Sonicwall-SSL-VPN in einem frühen Stadium der Angriffskette betreffen. Daraus kann geschlossen werden, dass Mitglieder dieser Gruppen die Ransomware-Varianten Fog und Akira aktiver verbreiten.
- Keines der betroffenen Sonicwall-Geräte wurde gegen die Sicherheitslücke CVE-2024-40766 gepatcht, die nach Angaben von Sonicwall potenziell aktiv ausgenutzt wird. Die Schwachstelle wurde von Sonicwall am 22. August 2024 öffentlich bekannt gegeben ( https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015), seitdem haben sich jedoch mehrere wichtige Änderungen ergeben:
o 28.8.2024: Sonicwall aktualisiert den Hinweis, um das Zurücksetzen von SSL-VPN-Kennwörtern einzuschließen, wobei zuvor nur das Verwaltungsnetzwerk betroffen war.
o 06.09.2024: Sonicwall aktualisiert den Hinweis, dass die Schwachstelle „potenziell“ aktiv ausgenutzt wird und nennt SSL-VPN ausdrücklich als potenziell anfällig. Arctic Wolf verschickt am selben Tag ein eigenes Bulletin und ergänzt, dass Akira-Mitglieder die Schwachstelle möglicherweise ausnutzen.
o Es wurde ein kurzes Intervall zwischen dem ersten Zugriff auf das SSL-VPN-Konto und der Verschlüsselung durch die Ransomware beobachtet. Diese geschieht oftmals innerhalb desselben Tages.
- Bislang wurde noch nicht erwähnt, dass eine Reihe von Fällen nach Geschäftsschluss oder am Wochenende auftraten, was das Arctic-Wolf-Team beobachtete. Diese Variante wird häufig in kleinen und mittelständischen Unternehmen eingesetzt. Auch die Ergebnisse des Arctic-Wolf-Security-Operations-Report deuten auf vermehrte Cyberangriffe nach Feierabend.
o Im Gegensatz zu den großen Ransomware-Angriffen, die wir in den vergangenen Jahren gesehen haben, sind diese Attacken weniger zielgerichtet, da die Ransomware-Anbieter herausgefunden haben, wie sie ihren Gesamtaufwand und die Durchlaufzeit reduzieren können.
o Vor allem für KMU, von denen einige nicht über ein dediziertes IT-Team verfügen, ist dieses Angriffsmuster besonders perfide: Die Angreifer haben es auf Schwachstellen abgesehen, die in der Patch-Priorisierung weiter unten stehen und verschlüsseln sensible Daten meist noch am selben Tag. Für die Unternehmen kommt dies einer Katastrophe gleich.
Fazit: Kommerzialisierung des Angriffsprozesses als Grundlage für opportunistische Cyberangriffe
Immer häufiger werden Schwachstellen auf opportunistische Weise ausgenutzt. Ransomware-Ableger haben es geschafft, die Bereitstellungszeiten drastisch zu verkürzen, was jedes Unternehmen für Angriffe öffnet und den Spielraum für Fehler bei Eindämmung und Erkennung zunehmend verkleinert. Besonders seit Aufkommen des Ransomware-as-a-Service-Modells ist eine fortschreitende Kommerzialisierung des Angriffsprozesses zu beobachten: Initial Access Broker verkaufen Zugang zu den Opferorganisationen, Ransomware-Partner setzen Verschlüsselungssoftware ein und führen praktische Keyboard-Aktivitäten durch und Ransomware-Betreiber stellen diesen Partnern die Leak-Site-Infrastruktur und technische Unterstützung für Verschlüsselungstools bereit. Die Folge davon ist, dass auch weniger erfahrene Bedrohungsakteure Bekanntheit erlangen und Profit machen können.
Im Zuge der Verlagerung auf Ransomware-as-a-Service haben sich größere Konglomerate in kleinere Einheiten aufgeteilt, die auf unterschiedliche Weise zusammenarbeiten und miteinander konkurrieren. Diese Zersplitterung wird von den kriminellen Gruppen als Risikostreuung wahrgenommen und ermöglicht ihnen einen fließenden Wechsel zwischen den Anbietern, wenn die Strafverfolgungsbehörden einen Teil ihrer Lieferkette ausschalten konnten.
#ArcticWolf