Los hackers intentaron (y fallaron) instalar ransomware usando un día cero en los firewalls de Sophos


empresa-cierra-debido-de-ransomware-5e16586b81f53e00015e6599-1-ene-09-2020-14-00-23-poster.jpg

El proveedor británico de ciberseguridad Sophos publicó hoy una actualización sobre su investigación sobre una serie reciente de ataques que intentaron explotar una vulnerabilidad de día cero en su producto de firewall XG.

Sophos dijo que después de enterarse del incidente y emitir un hotfix, los atacantes entraron en pánico y modificaron su rutina de ataque para reemplazar su carga útil first de robo de datos e implementar ransomware en redes corporativas protegidas por firewalls de Sophos.

Sophos dijo que los cortafuegos que recibieron la revisión bloquearon los intentos posteriores de instalar ransomware.

Resumen de los ataques originales.

Los ataques originales tuvieron lugar entre el 22 y el 26 de abril. En un informe publicado en ese momento, Sophos dijo que un atacante había descubierto una vulnerabilidad de inyección SQL (CVE-2020-12271) en el firewall de Sophos XG.

Los hackers estaban usando el día cero para atacar el servidor de base de datos PostgreSQL incorporado en el firewall y colocar malware en el dispositivo.

Sophos dijo que la carga inicial era un troyano, que la compañía nombró Asnarök – que recopilan archivos que contienen nombres de usuario y contraseñas para las cuentas de firewall de Sophos.

Además, los atacantes también dejaron dos archivos que funcionaban como puertas traseras y que proporcionaban una forma de controlar los dispositivos infectados.

Sophos reaccionó rápidamente, y cuatro días después de enterarse del ataque, la compañía publicó revisiones para los cortafuegos XG, que envió automáticamente a todos los cortafuegos que tenían habilitada la opción de actualización automática.

Los ataques cambiaron después del lanzamiento del parche

Pero en un nuevo informe publicado hoy, Sophos dijo que tan pronto como las noticias del ataque se hicieron públicas y el parche comenzó a implementarse, los atacantes cambiaron su rutina de ataque.

La nueva cadena de ataque incluía las siguientes cargas útiles:

  • EternoAzul – Windows SMB explotar para permitir que los atacantes infecten las computadoras en la purple interna más allá del firewall.
  • DoublePulsar – Implante de kernel de Windows para otorgar a los atacantes un punto de apoyo en las computadoras de la crimson interna.
  • Ragnarok – una cepa de crypto-ransomware (que no debe confundirse con el ransomware RagnarLocker).

Sin embargo, Sophos dice que la nueva rutina de ataque falló. La compañía dice que en los firewalls parcheados, la revisión eliminó todos los rastros del malware, incluidos ambos mecanismos de puerta trasera, evitando que la nueva cadena de ataque entregue e instale con éxito el ransomware.

Los firewalls XG donde la función de actualización automática no estaba habilitada y donde los administradores del sistema no pudieron instalar manualmente el parche probablemente estaban infectados.

ZDNet le preguntó a Sophos hoy sobre la cantidad de incidentes en los que los piratas informáticos lograron instalar con éxito el ransomware después de que las empresas no pudieron parchear los sistemas.

El ransomware Ragnarok es una cepa de ransomware menos conocida. Antes de este informe, el ransomware Ragnarok se había visto en ataques donde los piratas informáticos atacaron Citrix ADC, un sistema de puerta de enlace de red.

Estos ataques siguieron un patrón equivalent al descrito por Sophos, donde los atacantes atacaron los dispositivos periféricos de la pink de una empresa y luego pasaron a las estaciones de trabajo en la crimson interna.

«Este incidente resalta la necesidad de mantener actualizadas las máquinas dentro del perímetro del cortafuegos, y sirve como un recordatorio de que cualquier dispositivo IOT podría ser abusado como punto de apoyo para llegar a las máquinas con Home windows», dijo Sophos. «También es importante para la industria y las fuerzas del orden vigilar a este grupo, debido al impacto potencialmente descomunal de un ataque contra dispositivos conectados en purple».



Enlace a la noticia original