Специалисты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA) предупредили, что злоумышленники атакуют «известную, ранее исправленную уязвимость» в продуктах SonicWall Secure Mobile Access (SMA) серии 100 и Secure Remote Access (SRA) с устаревшей прошивкой. Эксперты добавляют, что злоумышленники могут использовать эту уязвимость для целевых вымогательских атак.
Напомню, что на прошлой неделе специалисты SonicWall выпустили срочное предупреждение для своих клиентов, заявив о «неизбежной вымогательской кампании», которая будет нацелена на продукты, чья поддержка уже была прекращена. Теперь CISA призывает пользователей и администраторов ознакомиться с этим уведомлением SonicWall и обновить прошивки своих устройств или немедленно отключить их, если это невозможно.
Хотя CISA и SonicWall не говорят о том, какие хак-группы стоят за атаками, собственные источники издания Bleeping Computer, сообщают, что речь идет о вымогателе HelloKitty, который активно эксплуатирует упомянутую уязвимость несколько последних недель. Эту информацию подтвердили и сотрудники компании CrowdStrike, заявив, что атаки осуществляют несколько злоумышленников, включая HelloKitty.
Вымогатель HelloKity активен с ноября 2020 года и в основном известен благодаря атаке на компанию CD Projekt Red, когда хакеры утверждали, что украли исходный код Cyberpunk 2077, Witcher 3, Gwent и других игр.
Хотя эксперты не говорят о том, какая именно уязвимость использовалась для взлома SMA и SRA, специалист CrowdStrike сообщил журналистам, что эта проблема имеет идентификатор CVE-2019-7481. Это весьма любопытный факт, так как в SonicWall заявляли, что уязвимость «была исправлена в более новых версиях прошивки, выпущенных в начале 2021 года». Тогда как в CrowdStrike считают, что под атаками находится проблема, обнаруженная и исправленная еще в 2019 году.