SonicWall lo dijo el miércoles completó una investigación que mostró que los piratas informáticos pudieron obtener acceso a los archivos de copia de seguridad de la configuración del firewall para todos los clientes que utilizaron el servicio de copia de seguridad en la nube MySonicWall de la empresa.
La investigación se completó con Mandiant, el brazo de respuesta a incidentes de ciberseguridad de Google Cloud.
Los archivos contenían credenciales y datos de configuración cifrados, según la compañía, que señaló que si bien el cifrado permanece, existe un mayor riesgo de ataques dirigidos.
La compañía se apresura a notificar a los socios y clientes que se han visto afectados. SonicWall también ha lanzado herramientas para ayudar a evaluar la situación y remediar el peligro.
La investigación plantea serias dudas sobre las revelaciones anteriores de SonicWall sobre el alcance de los ataques.
En septiembre, la empresa advirtió sobre piratas informáticos que realizaban ataques de fuerza bruta para acceder al servicio de copia de seguridad en la nube.
SonicWall dijo en ese momento que sólo el 5% de los archivos de copia de seguridad de la configuración del firewall se vieron afectados por el ataque. La compañía no explicó cómo pudieron haber pasado de una estimación tan baja al 100% y no respondieron de inmediato a las preguntas de seguimiento sobre la discrepancia.
El incidente se consideró tan urgente que el Agencia de Ciberseguridad y Seguridad de Infraestructuras publicó un aviso en septiembre instando a los usuarios a iniciar sesión en sus cuentas de clientes para determinar si estaban en riesgo.
Los investigadores de Arctic Wolf dijeron en una publicación de blog que los usuarios deben priorizar el restablecimiento de credenciales en dispositivos de firewall activos.
Los investigadores de Arctic Wolf señalaron que los archivos de configuración del firewall contienen información confidencial, incluida la configuración de usuario, grupo y dominio, así como la configuración de DNS y de registro. Los actores de los estados-nación y los grupos de ransomware roban este tipo de información para utilizarla en futuros ataques.
SonicWall dijo que publicó una lista completa de los dispositivos afectados en el portal MySonicWall.
SonicWall está trabajando con Mandiant para mejorar su infraestructura en la nube y sus sistemas de monitoreo, dijo el jueves un portavoz de SonicWall. Los funcionarios de Mandiant declinaron hacer comentarios.
Fuente