.png)
há 1 semana
2
ANUNCIE AQUI
Pesquisadores de segurança alertam que o ransomware Akira vem explorando dispositivos SonicWall SSL VPN em ataques que conseguem contornar até mesmo contas protegidas por MFA baseado em OTP. De acordo com a Arctic Wolf, foram observados múltiplos desafios de autenticação de uso único seguidos por logins bem-sucedidos, sugerindo que os invasores estariam utilizando seeds de OTP previamente roubados ou outro método capaz de gerar tokens válidos.
Leia também
Cadeia de suprimentos de IA exposta a execução remota de código
Parceria com a Think eleva maturidade de SI na Sertrading
Em 2024, a falha de controle de acesso inadequado CVE-2024-40766 foi confirmada como vetor inicial de exploração, permitindo a captura de credenciais de VPN. Embora a SonicWall tenha publicado correções em agosto de 2024 e recomendado a reinstalação de firmware e redefinição de todas as credenciais, os operadores do Akira continuam aproveitando credenciais e OTP seeds obtidos em ataques anteriores.
Pesquisas adicionais, incluindo um relatório do Google Threat Intelligence Group, indicam que grupos financeiros como o UNC6148 exploraram appliances SMA 100 Series mesmo atualizados, valendo-se de OTP seeds comprometidos para manter acesso persistente. Uma vez dentro, o Akira executa reconhecimento rápido da rede, utiliza ferramentas como dsquery, SharpShares e BloodHound, e foca em servidores Veeam Backup & Replication, extraindo credenciais MSSQL e PostgreSQL.
Os afiliados também recorrem a ataques Bring Your Own Vulnerable Driver (BYOVD), abusando do legítimo consent.exe para carregar DLLs maliciosos que instalam drivers vulneráveis, permitindo desativar soluções de proteção e facilitar a execução dos cifradores de ransomware.
Administradores são fortemente orientados a redefinir todas as credenciais de VPN em dispositivos que já rodaram firmware vulnerável, inclusive aqueles atualizados para o SonicOS 7.3.0, visto que a simples atualização não impede o uso de contas previamente comprometidas.
Portuguese (BR) ·