Los investigadores de seguridad han descubierto una nueva cepa de ransomware diseñada para explotar una vulnerabilidad de VPN de SonicWall desde cero días antes de que esté disponible un parche.
Según investigadores de Mandiant, el defecto existe en la serie SMA-100 de productos VPN de SonicWall. Los piratas informáticos, a quienes Mandiant llamó UNC2447, atacaron organizaciones en Europa y América del Norte con un nuevo ransomware conocido como FiveHands, una versión reescrita del ransomware DeathRansom.
Los piratas informáticos han estado implementando malware desde enero de este año, junto con el malware Sombrat en varias víctimas que han sido extorsionadas. Los investigadores notaron que en una de las intrusiones de ransomware, se observaron las mismas muestras de malware Warprism y Beacon previamente asignadas a UNC2447. Los investigadores confían en que el mismo grupo de piratas informáticos ha utilizado el ransomware Ragnar Locker en el pasado.
«Según las observaciones técnicas y temporales de las implementaciones de HelloKitty y FiveHands, Mandiant sospecha que HelloKitty podría haber sido utilizado por un programa global de afiliados desde mayo de 2020 hasta diciembre de 2020 y FiveHands desde aproximadamente enero de 2021», dijeron los investigadores.
Los investigadores dijeron que se sospecha que FiveHands es un ransomware afiliado y el sucesor de otra variante de DeathRansom llamada HelloKitty. El ransomware HelloKitty se utilizó para mantener a la compañía de juegos CD Projekt Red a cambio de un rescate. Agregaron que notaron un chat privado de FiveHands Tor a principios de este mes usando un favicon de Hello Kitty.
El nuevo malware FiveHands mejora HelloKitty y DeathRansom mediante el uso de un cuentagotas de memoria y el cifrado de varios archivos y carpetas. El malware también puede «usar el Administrador de reinicio de Windows para cerrar un archivo que se usa actualmente para que se pueda desbloquear y cifrar correctamente».
El exploit utilizado por el ransomware es CVE-2021-20016, una vulnerabilidad crítica de inyección SQL que explota los productos de acceso remoto SonicWall Secure Mobile Access SMA 100 sin parches. Los investigadores dijeron que este defecto permite que un atacante remoto no autenticado envíe una consulta diseñada específicamente para explotar la vulnerabilidad.
«Una operación exitosa le daría a un atacante la capacidad de acceder a las credenciales de inicio de sesión (nombre de usuario, contraseña), así como a la información de la sesión que luego podría usarse para conectarse a un dispositivo vulnerable de la serie SMA 100 sin un parche», dijeron los investigadores.
Esta vulnerabilidad solo afectó a la serie SMA 100 y fue reparada por SonicWall en febrero de 2021.
Los piratas informáticos ganan dinero con las intrusiones, primero extorsionando a sus víctimas con el ransomware FiveHands. Esto es «seguido por la aplicación agresiva de presión a través de amenazas con la atención de los medios y el suministro de datos sobre las víctimas para la venta en foros de piratas informáticos», según los investigadores.
«UNC2447 se ha observado en la dirección de organizaciones en Europa y América del Norte y ha mostrado constantemente capacidades avanzadas para evadir la detección y minimizar el análisis forense posterior a la intrusión».
Los investigadores dijeron que si bien las similitudes entre HelloKitty y FiveHands son notables, diferentes grupos pueden usar ransomware a través de programas clandestinos de afiliados.