Хакеры нашли новый способ взлома корпоративных сетей, используя уязвимость в системах VPN от SonicWall. Уязвимость, известная как CVE-2024-40766, позволяет злоумышленникам получать несанкционированный доступ через SSL VPN.

Компания SonicWall уже устранила эту проблему в своей операционной системе SonicOS в конце августа. Однако уже через неделю после устранения было замечено, что хакеры активно используют эту уязвимость.

По информации специалистов из Arctic Wolf, хакерские группы Akira и вирус-вымогатель Fog используют этот брешь для первоначального проникновения в сети. Они уже осуществили около 30 успешных атак, начиная с получения удаленного доступа через VPN. Причем большинство атак связаны с Akira.

Обе группы, похоже, используют общую инфраструктуру, что может свидетельствовать о их сотрудничестве. Несмотря на то что не во всех случаях подтверждено использование этой конкретной уязвимости, все атакованные точки были уязвимы для нее.

С момента взлома до начала шифрования данных обычно проходит всего около 10 часов, а иногда и быстрее — от 1,5 до 2 часов. Злоумышленники также часто скрывают свои настоящие IP-адреса, используя VPN или VPS.

Arctic Wolf отмечает, что многие компании не используют многофакторную аутентификацию на уязвимых аккаунтах, что упрощает задачу хакеров.