Criminelen hebben geprobeerd om via een zerodaylek in firewalls van antivirusbedrijf Sophos ransomware te verspreiden. De aanval werd echter op tijd opgemerkt en gestopt. Eind april maakte de virusbestrijder bekend dat verschillende klanten met een Sophos-firewall via een zerodaylek waren aangevallen.

Via een tot dan toe onbekende SQL-injection kwetsbaarheid wisten aanvallers toegang tot Sophos XG-firewalls te krijgen en verschillende scripts uit te voeren die malware op de firewall installeerden. De malware kon licentie- en serienummer, e-mailadressen van gebruikers en beheerders, gehashte wachtwoorden en een lijst met gebruikers-id's die de vpn-functionaliteit van de firewall mochten gebruiken stelen.

Na ontdekking van de aanval kwam Sophos met een hotfix die de kwetsbaarheid verhielp en "restanten" van de aanval verwijderde. De hotfix werd automatisch geïnstalleerd bij firewalls die automatisch updaten hadden ingeschakeld, wat de standaardinstelling is. In de praktijk bleek echter dat veel beheerders deze optie hadden uitgeschakeld, zo stelde securitybedrijf Rapid7 op basis van een eigen internetscan.

Ransomware

Sophos heeft nu meer details over de aanval gegeven, waaronder dat de aanvallers via het lek ransomware probeerden te verspreiden. Op gecompromitteerde firewalls plaatsten de aanvallers een shellscript dat als een "dead man switch" fungeerde. Wanneer een specifiek bestand dat de aanvallers hadden achtergelaten werd verwijderd, bijvoorbeeld na een herstart, zou er na een bepaalde tijdsperiode een ransomware-aanval op machines in het achterliggende netwerk worden uitgevoerd.

De oplossing van Sophos vereiste echter geen herstart van de firewall, waardoor de dead man switch niet werd geactiveerd. Daarop besloten de aanvallers de module die gegevens van gebruikers stal te vervangen door de module die ransomware moest verspreiden. Op dat moment had Sophos al maatregelen genomen om dit deel van de aanval te verstoren.

Om hun "Ragnarok-ransomware" binnen het achterliggende netwerk te kunnen verspreiden maakten de aanvallers gebruik van de EternalBlue-exploit van de Amerikaanse geheime dienst NSA. De exploit maakt gebruik van een kwetsbaarheid in Windows waarvoor Microsoft op 14 maart 2017 een update uitbracht. Alleen organisaties die al drie jaar lang geen updates voor hun Windowssystemen hadden geïnstalleerd liepen dan ook risico. Volgens Sophos laat de aanval zien hoe belangrijk het is om machines binnen de firewall-perimeter up-to-date te houden.