Criminelen hebben begin dit jaar een zerodaylek in een vpn-oplossing van netwerkbeveiliger SonicWall gebruikt voor de verspreiding van ransomware voordat een beveiligingsupdate beschikbaar was. Verschillende organisaties raakten zo met ransomware besmet en werden door de criminelen afgeperst, meldt securitybedrijf FireEye. Deze aanvallen vonden in januari en februari van dit jaar plaats.

De kwetsbaarheid, CVE-2021-20016, was aanwezig in de SonicWall-vpn SMA100. Door middel van SQL-injection kon een ongeauthenticeerde aanvaller op afstand toegang tot inloggegevens krijgen en zo kwetsbare systemen overnemen. De ernst van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld.

SonicWall kwam in februari met een beveiligingsupdate voor het probleem. Verschillende organisaties waren daarvoor al aangevallen, stelt FireEye. De aanvallen worden toegeschreven aan een groep financieel gemotiveerde criminelen. De groep zou eerder betrokken zijn bij aanvallen met de Ragnar Locker-ransomware.

Source