Купил компанию — получи троян. Старые VPN превращают слияния в кибератаку

Обычные сделки по слияниям и поглощениям неожиданно превращаются в удобный вход для вымогателей: операторы шифровальщика Akira пробираются в сети крупных компаний через уязвимые устройства SonicWall, доставшиеся им вместе с поглощаемым бизнесом. Об этом предупреждает компания ReliaQuest, изучившая ряд атак с июня по октябрь.

Во всех проанализированных инцидентах, где фигурировали уязвимые SSL VPN-устройства SonicWall, хакеры сначала компрометировали инфраструктуру меньшей компании, а уже затем через те же устройства выходили в сеть материнской структуры после завершения сделки. Новые владельцы зачастую даже не знали, что это оборудование вообще есть в их обновлённой IT-среде, и, конечно, не спешили закрывать старые уязвимости.

Летом, по данным ReliaQuest, аффилиированные с Akira группировки активно эксплуатировали ошибки конфигурации и уязвимости в межсетевых экранах и SSL VPN SonicWall, чтобы проникать в сети, воровать данные и запускать шифровальщик. SonicWall SSL VPN широко используется в малом и среднем бизнесе — а именно такие компании чаще всего становятся объектом поглощений, что делает связку «SonicWall + M&A» особенно привлекательной для преступников.

Помимо участия в сделках, все изученные эпизоды атак Akira объединяли ещё три характерные черты: заброшенные, но всё ещё действующие привилегированные учётные записи, дефолтные или легко предсказуемые имена хостов, а также отсутствие полноценной защиты конечных точек. Этот набор проблем превращал сети жертв почти в «коридор без камер».

Исследователи отмечают, что сразу после проникновения в сеть через компрометированное устройство SonicWall злоумышленники начинали искать привилегированные учётные записи, которые «переехали» в новую компанию вместе с её покупкой. Речь шла о старых аккаунтах администраторов, учётках бывших провайдеров управляемых услуг и других легаси-доступах, о существовании которых новый владелец мог вообще не подозревать. В результате, по оценке ReliaQuest, в среднем им удавалось добраться до контроллера домена всего за 9,3 часа, а в некоторых случаях — за пять часов и меньше.

Дальше шёл быстрый разведочный этап: злоумышленники сканировали сеть в поисках хостов с дефолтными или предсказуемыми именами, по которым легко вычислить контроллеры домена, серверы приложений и прочие критичные узлы. С момента начала латерального движения до непосредственного запуска шифровальщика в этих инцидентах проходило меньше часа — у защитников оставалось минимум времени на реакцию.

Отдельно ReliaQuest подчёркивает роль защиты конечных точек. Во всех случаях операторы Akira целенаправленно искали критичные хосты без включённых EDR- или аналогичных решений. Если таких машин не находилось, они пытались отключить защиту с помощью техники подмены библиотек (DLL sideloading). Отсутствие или слабость защиты на конечных точках заметно облегчало им задачу по шифрованию систем до того, как инцидент кто-то успевал заметить.

Сами исследователи не раскрывают, сколько именно атак они разобрали, но вывод у ReliaQuest однозначный: компании, проходящие через слияния и поглощения, становятся особенно привлекательной целью для вымогателей. И если не проводить тщательную инвентаризацию унаследованного оборудования, не закрывать уязвимые VPN, не отключать легаси-учётные записи и не обеспечивать полноценную защиту всех хостов, то новая сделка может принести не только активы, но и уже сидящих внутри сети вымогателей.