FogランサムウェアがSonicWall VPN狙い、企業ネットワークに侵入(CVE-2024-40766)
BleepingComputer – October 27, 2024
FogおよびAkiraランサムウェアがSonicWall VPNアカウントからのリモートアクセスを介して企業ネットワークへ侵入するケースが増加しているという。Arctic Wolfの最新のレポートによって明らかとなった。これらの攻撃では、SonicOSのSSL VPN機能に影響を与える欠陥CVE-2024-40766(不適切なアクセス制御の脆弱性)が悪用されていると考えられる。
両グループは少なくともこの侵入行為を計30回実行しており、そのうち75%はAkira、25%はFogによるものだとされている。また今月11日にSophosは両者が非公式の協力関係にあることを指摘したが、Arctic Wolfもこれらのグループによるインフラの共有が観測されたと報告している。
侵入が成功してからデータを暗号化するまでにかかった時間は、ほとんどのケースで10時間程度と短く、最も短かったケースでは1.5〜2時間だったという。
当該欠陥は今年8月下旬に修正されたが、9月上旬には悪用行為が確認されていた。研究者らはすべてのケースでこの脆弱性が悪用されたという確信を抱いているわけではないが、被害に遭ったエンドポイントはすべて同脆弱性に対するパッチが未適用の状態だったとされている。
またこのほかに、標的となったSSL VPNアカウントで多要素認証が有効になっていなかったことや、デフォルトのポート4433でサービスが実行されていたことも指摘に挙がっている。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠