DrayTek на службе REvil: 0Day в роутерах стала вектором атак на сотни компаний

С августа 2023 года хакеры тайно использовали Zero Day в маршрутизаторах DrayTek для взлома устройств, кражи паролей и последующего развёртывания вымогательского ПО в подключённых сетях.

Согласно совместному отчёту Forescout и PRODAFT , атаки осуществлялись группой Monstrous Mantis, которую связывают с оператором вымогательского ПО RagnarLocker. Злоумышленники использовали уязвимость для извлечения и взлома паролей маршрутизаторов DrayTek Vigor, после чего передавали полученные данные избранным партнёрам.

Двое из таких партнёров были идентифицированы как давние участники различных программ Ransomware-as-a-Service (RaaS). Киберпреступники использовали украденные пароли для проникновения в корпоративные сети и развёртывания вымогательского ПО, включая RagnarLocker , Qilin , Nokoyawa и RansomHouse.

Первую группу партнёров назвали Ruthless Mantis (PTI-288), которую связывают с бывшими участниками группировки REvil, которые использовали учётные данные, предоставленные Monstrous Mantis, для атак на 337 организаций преимущественно в Великобритании и Нидерландах.

Вторая группа, известная как Wazawaka (LARVA-15), связана с Михаилом Матвеевым, которого в конце ноября задержали и предъявили обвинения в связи с вымогательскими атаками. Как отмечают специалисты, Матвеев не занимался непосредственным развёртыванием вредоносного ПО, а выступал посредником, передавая украденные данные другим преступникам.

Forescout утверждает, что не удалось идентифицировать уязвимость как известный CVE, и до сих пор неясно, была ли ошибка исправлена. По данным экспертов, эксплойт был направлен на компонент прошивки маршрутизаторов (mainfunction.cgi), который уже ранее демонстрировал значительное количество уязвимостей. Среди жертв атак оказался полицейский департамент Большого Манчестера.

Ранее международные правоохранительные органы провели операцию по блокировке сайта утечек группы вымогателей Ragnar Locker. В операции участвовали Европол, ФБР, Федеральное ведомство по уголовным делам Германии и многие другие организации. Группировка Ragnar Locker, используя своё вымогательское ПО, была связана с атаками на значимые объекты инфраструктуры, включая португальскую авиакомпанию и израильскую больницу .