Hackers probeerden ransomware te installeren in Sophos firewalls

Kortgeleden vond er een serie aanvallen plaats op een zero-day kwetsbaarheid in de XG firewalls van Sophos. Dankzij het snelle schakelen van Sophos slaagden de aanvallers er niet in om data te stelen of ransomware te installeren. Ook latere pogingen van hackers om ransomware te installeren mislukten.

Toen Sophos de aanval ontdekte, reageerde het bedrijf snel. Binnen vier dagen was er een hotfix die automatisch werd geïnstalleerd op firewalls waar de auto-update functie geactiveerd was. Deze patch hield verdere pogingen van hackers tegen. 

Nadat Sophos een hotfix uitbracht, raakten de aanvallers in paniek. Ze veranderden hun oorspronkelijke aanval gericht op het stelen van data en gingen over op het installeren van ransomware op bedrijfsnetwerken die beschermd worden door Sophos Firewalls. De firewalls waarop de hotfix is geïnstalleerd blokkeerden alle verdere pogingen om ransomware te installeren. 

Aanvallen op Sophos firewalls

De originele aanvallen op Sophos firewalls vonden plaats tussen 22 april en 26 april. In een verklaring over deze aanvallen vertelde Sophos dat een aanvaller een SQL injection vulnearbility had ontdekt in de Sophos XG firewall. De hackers gebruikten de zero-day om de ingebouwde PostgreSQL-database van de firewall aan te vallen en malware te installeren. 

Aanvankelijk gebruikten de aanvallers de zero-day om bestanden met gebruikersnamen en wachtwoorden voor Sophos firewall accounts te verzamelen. Ook lieten de aanvallers bestanden achter die werkten als backdoors en die de hackers controle gaven over de aangetaste apparaten. 

Nieuwe aanvallen

Uit een nieuw rapport blijkt nu dat de hackers hun aanval veranderden nadat Sophos de patch uitrolde. De nieuwe aanval bestond uit de volgende onderdelen:

  • EternalBlue: een Windows SMB exploit waarmee hackers computers op het interne netwerk achter de firewall kunnen infecteren
  • DoublePulsar: een implant in de Windows kernal die aanvallers een steunpunt geeft op computers binnen het interne netwerk
  • Ragnarok: een vorm van crypto-ransomware

Volgens Sophos mislukte de nieuwe aanval. De hotfix verwijderde alle sporen van de malware en backdoor mechanismes van de gepatchte servers. Hierdoor werd het voor hackers onmogelijk om de ransomware te installeren. 

XG firewalls waar de auto-update functie niet aan stond en waar systeembeheerders de patch niet handmatig installeerden zijn waarschijnlijk wel aangetast. “Dit incident laat nogmaals zien hoe belangrijk het is om de firewall up-to-date te houden. Het is een herinnering aan het feit dat IoT-apparaten gebruikt kunnen worden als een steunpunt om Windows-apparaten te gebruiken”, zegt Sophos over de aanvallen.