mobile-logo

แรนซัมแวร์ Fog เล็งเป้าหมาย SonicWall VPN เพื่อเจาะระบบเครือข่ายองค์กร

28 Oct

แรนซัมแวร์ Fog เล็งเป้าหมาย SonicWall VPN เพื่อเจาะระบบเครือข่ายองค์กร

by Monster Online
in Blog
Comments

กลุ่มแรนซัมแวร์ Fog และ Akira กำลังเพิ่มความถี่ในการเจาะระบบเครือข่ายองค์กรผ่านบัญชี SonicWall VPN โดยเชื่อว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย CVE-2024-40766 ซึ่งเป็นช่องโหว่ร้ายแรงใน SSL VPN access control

SonicWall ได้แก้ไขช่องโหว่ SonicOS ในปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ได้เตือนว่าช่องโหว่นี้ถูกนำไปใช้โจมตีจริงแล้ว

Arctic Wolf รายงานว่ากลุ่มแรนซัมแวร์ Akira และ Fog ใช้ช่องโหว่ในระบบของ SonicWall VPN เพื่อลักลอบเข้าถึงเครือข่ายขององค์กรต่าง ๆ อย่างน้อย 30 ครั้ง โดยโจมตีผ่านการเข้าถึงระยะไกล ซึ่งการโจมตีทั้งหมดนี้อาศัยระบบที่ไม่ได้รับการอัปเดต รวมถึงไม่มีการยืนยันตัวตนแบบหลายปัจจัย (MFA) บนบัญชี VPN และมีการเปิดพอร์ต 4433 ซึ่งเป็นค่าเริ่มต้น

สิ่งที่น่าสนใจคือ Akira และ Fog ransomware ดูเหมือนจะใช้โครงสร้างพื้นฐานร่วมกัน ซึ่งแสดงให้เห็นถึงความร่วมมือในลักษณะไม่เป็นทางการ โดยอ้างอิงจากข้อมูลที่ Sophos ได้รายงานไว้ก่อนหน้านี้ นักวิจัยพบว่าหลายครั้ง การเจาะเข้าระบบและการเข้ารหัสข้อมูลเกิดขึ้นในเวลาที่รวดเร็วมาก บางกรณีใช้เวลาเพียง 1.5-2 ชั่วโมงเท่านั้น

การโจมตีมักเริ่มต้นจากการเข้าถึง VPN/VPS เพื่อปกปิด IP จริงของผู้โจมตี และในการโจมตีที่สามารถจับบันทึกไฟร์วอลล์ได้ ระบบจะบันทึกเหตุการณ์ เช่น การล็อกอินระยะไกลของผู้ใช้ และแสดงข้อความยืนยันการกำหนด IP และการล็อกอินสำเร็จ หลังจากนั้นไม่นาน ผู้โจมตีก็เริ่มเข้ารหัสข้อมูลทันที โดยเน้นไปที่เครื่องเสมือนและข้อมูลสำรองเป็นหลัก

ข้อมูลที่ถูกขโมยรวมถึงเอกสารและซอฟต์แวร์เฉพาะ แต่ Akira มักจะไม่สนใจไฟล์ที่มีอายุมากกว่า 6 เดือน (หรือ 30 เดือนหากเป็นไฟล์ที่มีความละเอียดอ่อนกว่า) สำหรับ Fog ransomware ซึ่งเพิ่งปรากฏตัวในเดือนพฤษภาคม 2024 กำลังเติบโตขึ้นอย่างรวดเร็ว และมักเริ่มต้นการโจมตีโดยใช้ข้อมูลประจำตัว VPN ที่ถูกขโมย ในขณะเดียวกัน Akira ที่เป็นกลุ่มใหญ่ขึ้นก็กลับมาใช้งานเว็บไซต์ Tor ได้อีกครั้ง หลังประสบปัญหาการเข้าถึงไม่นาน

วิธีป้องกัน

  • อัปเดตซอฟต์แวร์: ติดตั้งแพตช์แก้ไขช่องโหว่ CVE-2024-40766 ทันที
  • เปิดใช้งาน MFA: บังคับใช้การยืนยันตัวตนสองปัจจัยสำหรับทุกบัญชี
  • เปลี่ยนการตั้งค่าเริ่มต้น: เปลี่ยนพอร์ตและการตั้งค่าอื่นๆ ที่ไม่ปลอดภัย
  • สำรองข้อมูล: สำรองข้อมูลสำคัญอย่างสม่ำเสมอและเก็บไว้ในที่ปลอดภัย
  • ฝึกอบรมพนักงาน: สอนให้พนักงานระวังภัยคุกคามทางไซเบอร์

การโจมตีด้วยแรนซัมแวร์ผ่าน SonicWall VPN เป็นภัยคุกคามที่ร้ายแรง องค์กรควรให้ความสำคัญกับการอัปเดตซอฟต์แวร์ ปรับปรุงการตั้งค่าความปลอดภัย และฝึกอบรมพนักงาน เพื่อป้องกันการโจมตีดังกล่าว

แหล่งที่มา : https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/

สนใจสินค้า

Tel : 02-026-6665

Email : [email protected]

Tags:
,,,,
Monster Online
Monster Online