Securitybedrijf SonicWall heeft een update voor de SMA 100-gateway uitgebracht waarmee "rootkit malware" van gecompromitteerde apparaten is te verwijderen. Mandiant en de Google Threat Intelligence Group waarschuwden in juli voor een aanvalscampagne waarbij SMA 100-gateways werden voorzien van een "persistent backdoor/user-mode rootkit".

Aanvallers gebruikten de malware onder andere om credentials, session tokens en OTP seed values te stelen. Met de gestolen seeds zijn one-time passwords (OTP) te genereren om te kunnen inloggen. De SonicWall SMA 100 is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Volgens Mandiant en Google was het doel van de aanvallers om via de gecompromitteerde apparaten data van organisaties te stelen en die daarmee af te persen, en mogelijk ook ransomware uit te rollen.

SonicWall heeft nu een update voor de SMA 100 uitgebracht die extra "file checking" biedt waarmee rootkits op het apparaat zijn te verwijderen. Onlangs kwam SonicWall ook in het nieuws omdat aanvallers via een bruteforce-aanval op de cloudback-updienst MySonicWall.com firewall-bestanden van SonicWall-klanten hadden gestolen, waarmee verdere aanvallen zijn uit te voeren. Volgens SonicWall is minder dan vijf procent van de firewall-klanten slachtoffer van deze aanval geworden. De Amerikaanse overheidsdienst CISA kwam gisterenavond met een waarschuwing waarin het getroffen klanten opriep om aanwijzingen van SonicWall te volgen.