滥用SSL VPN设备漏洞作为发动勒索软件攻击的入侵手段,已有数起事故发生,许多品牌的设备接连成为攻击目标。FireEye于4月29日披露滥用Fivehands勒索软件的攻击行动,黑客目标是欧洲和北美的组织,一旦勒索软件攻击成功,黑客不只会借由媒体的关注来向受害者施加压力,还会在黑客论坛出售资料获利。而攻击者入侵企业的渠道,就是通过SonicWall SSL VPN设备的重大漏洞CVE-2021-20016,然后在受害计算机植入名为SombRAT的后门程序,并展开勒索软件攻击。
关于CVE-2021-20016,这是与SQL注入攻击有关的漏洞,CVSS风险评分为9.8分。该漏洞存在于SonicWall的SMA 100系列设备,虽然SonicWall在2月已着手修补,并发布更新软件与安全通告,但在黑客滥用的时候,这仍是未知漏洞。
而对于此起攻击行动背后的攻击者,FireEye认为是他们自2020年11月开始关注的UNC2447。以往该组织曾经使用Ragnar Locker勒索软件,较为近期运用的勒索软件则是HelloKitty,以及本次披露的Fivehands。FireEye认为,UNC2447自2020年5月至12月使用HelloKitty,到了2021年1月开始转换并改用Fivehands。
关于HelloKitty这款勒索软件,FireEye指出UNC2447曾经用来攻击知名游戏开发商CD Projekt。不过,CD Projekt公布遭到黑客勒索的时间是今年2月,根据FireEye推断黑客使用HelloKitty的时间点,那么CD Projekt很有可能在2020年5月至12月之间就遭到攻击。
除了HelloKitty与Fivehands是同一组黑客前后使用的勒索软件,FireEye也指出这2款勒索软件的公用特点。该公司经分析程序代码后发现,HelloKitty与Fivehands都是从一款名为DeathRansom的勒索软件衍生而来的变种,且具备许多公用之处,例如,这些勒索软件都使用相同的程序代码来删除磁盘区阴影复制(Volume Shadow Copy)的备份资料,再者,在加密的过程中,它们对于被加密的文件,会产生唯一对称密钥。
对于UNC2447本次攻击事故所使用的勒索软件Fivehands,以及该组织先前运用的另一款勒索软件HelloKitty之间的关联,FireEye也公布了一张屏幕截屏,内容是Fivehands提供受害者与黑客讨论付赎金事宜的Tor网站画面,其网站图标就是凯蒂猫(箭头处)。
至于此起攻击事故受害规模为何?FireEye没有进一步说明,但公布入侵指标让企业管理人员可加以防范。