Az örökölt SonicWallok tárt kaput nyitnak a zsarolóvírusoknak

A vállalati összeolvadások és felvásárlások meglepő veszélyt rejtenek: az újonnan megszerzett SonicWall-tűzfalak váratlan biztonsági réseket nyithatnak a támadók előtt. Az Akira zsarolóvírus-hálózatának tagjai egyre gyakrabban használják ki az ilyen helyzeteket, amikor a felvásárló vállalat figyelmen kívül hagyja a kisebb cégektől örökölt, már kompromittált eszközöket. Az új cégtulajdonosok gyakran nem is tudnak ezekről a tűzfalakról, így azok napokig vagy hetekig nyitva állnak a támadók előtt.

Beépített gyengeségek – a támadók álma

Az Akira minden vizsgált támadásban ugyanarra a három hiányosságra támaszkodott: elavult, de továbbra is érvényes jogosultságokkal rendelkező adminisztrátori fiókokra, könnyen kitalálható gépnevekre, valamint hiányzó végpontvédelmi megoldásokra. A zsarolóvírus-csoportok általában azonnal feltérképezik, milyen hozzáféréseket örököltek a felvásárlás során áthozott fiókokból, gyakran olyan szolgáltatóktól vagy régi adminisztrátoroktól, akikről már a jelenlegi IT-részleg sem tud. Előfordult, hogy a támadók átlagosan alig több mint 9 óra alatt jutottak el egy kritikus tartományvezérlő-kiszolgálóhoz.

Pillanatok alatt láncreakció

Miután a támadók hozzáfértek a kritikus fiókokhoz és szerverekhez, kevesebb mint egy óra alatt élesítették a zsarolóvírust a fontos rendszereken. Ha egyetlen végpontvédelmi szoftver sem futott a szervereken, gyakorlatilag akadálytalanul titkosították az adatokat, mielőtt a cég védekezni tudott volna. Ez a módszer főleg kis- és közepes vállalatoknál jellemző, amelyek gyakrabban válnak felvásárlás célpontjává.

Mit lehet tenni?

A cégeknek saját biztonságuk érdekében minden újonnan átvett rendszert szigorúan ellenőrizniük kell. A régi fiókok törlése, az alapértelmezett nevek megváltoztatása és a végpontvédelem telepítése elengedhetetlen, ha el akarják kerülni a zsarolóvírusok meglepetésszerű támadásait.

2025, adrienne, go.theregister.com alapján