Компания SonicWall, специализирующаяся на корпоративной безопасности, призывает клиентов отключить ключевую функцию в своих последних моделях межсетевых экранов после сообщений исследователей о росте атак программ-вымогателей, направленных на пользователей её продуктов.
В заявлении на этой неделе SonicWall сообщила, что зафиксировала «заметное увеличение» инцидентов безопасности, связанных с межсетевыми экранами седьмого поколения (Generation 7), где у клиентов активирован VPN-сервис. Компания заявила, что «активно расследует эти случаи, чтобы определить, связаны ли они с ранее выявленными уязвимостями или же причиной может быть новая брешь в безопасности».
Это предупреждение прозвучало на фоне данных исследователей о том, что злоумышленники целенаправленно атакуют устройства SonicWall для получения первоначального доступа к корпоративным сетям.
Хакеры всё чаще нацеливаются на корпоративные продукты, такие как межсетевые экраны и VPN, которые выступают цифровыми шлюзами, разрешающими доступ сотрудников к внутренней сети. Однако уязвимости в этих системах позволяют злоумышленникам проникать внутрь и запускать атаки, направленные на кражу данных или их уничтожение.
Компания Arctic Wolf сообщила, что наблюдала взломы клиентов SonicWall ещё с середины июля. По её словам, «имеющиеся данные указывают на существование уязвимости нулевого дня» — ошибки, которую эксплуатировали до того, как разработчик успел её исправить.
Исследователи отметили, что между использованием уязвимости в межсетевом экране SonicWall и последующей установкой шифрующего файлы вредоносного ПО (ransomware) проходило крайне мало времени.
Другая кибербезопасностная фирма, Huntress Labs, заявила, что «вероятной причиной» атак является уязвимость нулевого дня в продуктах SonicWall. Эксперты предупредили, что злоумышленники, эксплуатирующие эту брешь, получают доступ к контроллерам доменов, управляющим устройствами и пользователями в сети.
В своём блоге Huntress предположила, что за частью атак на клиентов SonicWall стоит группировка Akira, известная использованием программ-вымогателей. Ранее Akira атаковала корпоративные продукты, например межсетевые экраны Fortinet, для проникновения в крупные сети.
«Это критическая и продолжающаяся угроза», — подчеркнули в Huntress.