Aktor ancaman bermotivasi finansial mengeksploitasi bug zero-day di peralatan VPN Sonicwall SMA 100 Series untuk menyebarkan ransomware baru yang dikenal sebagai FiveHands di jaringan target Amerika Utara dan Eropa.
Grup tersebut, dilacak oleh analis ancaman Mandiant sebagai UNC2447, mengeksploitasi kerentanan CVE-2021-20016 Sonicwall untuk menembus jaringan dan menyebarkan muatan ransomware FiveHands sebelum patch dirilis pada akhir Februari 2021.
Sebelum menerapkan muatan ransomware, UNC2447 juga diamati menggunakan implan Cobalt Strike untuk mendapatkan ketekunan dan memasang varian backdoor SombRAT, malware yang pertama kali terlihat dalam kampanye CostaRicto yang dikoordinasikan oleh sekelompok peretas bayaran.
Zero-day juga dimanfaatkan dalam serangan yang menargetkan sistem internal SonicWall pada bulan Januari dan kemudian disalahgunakan tanpa pandang bulu di alam liar.
Ransomware FiveHands yang digunakan dalam serangan UNC2447 pertama kali diamati di alam liar selama Oktober 2020.
Ini juga sangat mirip dengan ransomware HelloKitty, keduanya menulis ulang ransomware DeathRansom.
Selengkapnya: Bleeping Computer
