Een hackersgroep maakt actief misbruik van een zero-day-bug in de SonicWall SMA 100 Series VPN-apparaten. De groep installeert een nieuw type ransomware genaamd FiveHands op het netwerk van Noord-Amerikaanse en Europese doelwitten.
Beveiligingsonderzoekers kenden de naam UNC2447 toe aan de hackersgroep achter de SonicWall-aanvallen. De groep maakt actief misbruik van de CVE-2021-20016-kwetsbaarheid in SonicWall apparaten door hun FiveHands ransomware payloads te installeren. SonicWall rolde in februari een patch voor deze kwetsbaarheid uit.
UNC2447 perst zijn slachtoffers in eerste instantie af door hun systemen te versleutelen met de FiveHands-ransomware. Door te dreigen met media-aandacht en de gestolen data te verkopen op hackersforums zet UNC2447 zijn slachtoffers extra onder druk om te betalen.
FiveHands ransomware, wat is dat?
De FiveHands-ransomware kwam voor het eerst aan het licht in oktober 2020. De ransomware lijkt sterk op de HelloKitty-ransomware. Beide vormen zijn afgeleid van de DeathRansom-ransomware.
Sinds het begin van dit jaar zien beveiligingsexperts de HelloKitty-ransomware steeds minder voorkomen. Het aantal aanvallen met de FiveHands-ransomware neemt echter snel toe.
De FiveHands-ransomware heeft veel dezelfde functies en is gebaseerd op dezelfde code als de HelloKitty-ransomware. FiveHands heeft echter nog een extra functie: het kan de Windows Restart Manager gebruiken om een bestand te sluiten dat in gebruik is, zodat ook dat bestand versleuteld kan worden.
Installeer de patch zo snel mogelijk
In maart ontdekten beveiligingsonderzoekers nog drie zero-day-kwetsbaarheden in de on-premises en hosted Email Security producten van SonicWall. Deze zero-days zijn het doelwit van een andere hackersgroep die de naam UNC2682 heeft gekregen. De groep installeert backdoors door gebruik te maken van BEHINDER web shells en beweegt zich lateraal door het netwerk van slachtoffers om toegang te krijgen tot e-mails en bestanden.
Er zijn dus meerdere zero-days in SonicWall producten die op dit moment actief misbruikt worden. Het ziet ernaar uit dat de hackers zich vooral richten op slachtoffers in Noord-Amerika en Europa. Gelukkig heeft SonicWall inmiddels een patch uitgebracht voor de kwetsbaarheden. Doordat aanvallers de zero-days actief misbruiken, is het extra belangrijk om deze patch zo snel mogelijk te installeren.