勒索团伙正奔向 SonicWall 设备

这些攻击发生在源自思杰、F5、Pulse Secure、Fortinet 和 Palo AltoNetworks的企业级网络设备，在2019年和2020年被以类似的方式遭滥用，企业VPN和网络网关是勒索团伙的热门入口点。

但随着这些系统得到修复，网络犯罪组织也开始将目光聚焦在下一代设备上。Mandiant 在4月发布报告，CrowdStrike 在本周发布报告称，威胁行动者似乎已经在 SonicWall 设备中找到新目标。这两份报告指出，在今年上半年，威胁行动者扫描互联网并依靠两个漏洞的exploit劫持 SonicWall 设备，其中包括利用老旧的2019年 exploit (CVE-2019-7481) 攻击 SonicWall SRA VPN 服务器和利用在今年2月修复的漏洞 (CVE-2021-20016) 攻击 SonicWall SMA 网关。这些攻击中的最终 payload 包括 HelloKitty、FiveHands 和 Darkside 勒索软件。

然而，考虑到其他勒索团伙如何从一种勒索软件即服务 (RaaS) 附属程序跳转到另一个程序的频率，检测这些攻击中的最终 payload 通常会适得其反。CrowdStrike 公司在本周二发布文章督促企业打补丁或至少增加双因素认证机制支持 SonicWall 系统。

另外，Crowdstrike 公司的研究员 Heather Smith 和 Hanno Heinrichs 还表示，攻击利用2019年的漏洞攻击运行 SRA VPN固件版本9.0.0.5 的已修复设备，这说明威胁行动者发现了绕过 SonicWall 最初修复方案的方法。

不过，对于试用老旧遗留的 SRA VPN 设备的企业仍然有一些好消息。研究人员表示，SonicWall SRA VPN 所有人可以应用 10:x固件版本，这些版本和老旧设备兼容，是 CVE-2021-20016 漏洞被用于攻击其内网之后在2月发布的版本。

尽管如此，研究人员建议企业考虑用新设备替换老旧的 SRA VPN 设备。新设备已受支持且会定期打补丁。

简言之，从2019年以来，威胁行动者的行动就发生了转变。从2019年开始，勒索团伙就舍弃基于鱼叉式钓鱼邮件的攻击，转而针对边缘网络设备。自此之后，这些攻击就大规模流行且遭所有类型威胁行动者的利用，如国家黑客而不仅仅是勒索团伙。

虽然某些威胁行动者似乎都在攻击 SonicWall 设备，但一旦发现可在互联网远程利用的固件漏洞，就很可能也会攻击其它企业厂商的类似设备。