Съществува нарастваща доказателна база, че рансъмуерът Akira насочва вниманието си към продуктите за Cisco VPN (виртуални частни мрежи), като атаков вектор за проникване в корпоративни мрежи, кражба и криптиране на данни.

Akira ransomware е относително нова операция за рансъмуер, стартирана през март 2023 г., като групата по-късно добавя Linux криптор, за да нацели виртуални машини VMware ESXi. Продуктите на Cisco VPN се използват широко в много отрасли, за да осигуряват сигурна и криптирана трансмисия на данни между потребители и корпоративни мрежи, обикновено използвани от работещи от разстояние служители.

Съобщава се, че Akira използва компрометирани акаунти за Cisco VPN, за да се проникне в корпоративни мрежи, без да се налага използването на допълнителни задни врати или механизми за устойчивост, които биха ги издадли.

Sophos първо забеляза злоупотребата на Akira с VPN акаунти през май, когато изследователите заявиха, че групата за рансъмуер проникнала в мрежа, използвайки „VPN достъп чрез единична факторна аутентикация“.

Въпреки това инцидентният респондент, известен като ‘Aura’, сподели допълнителна информация в Twitter относно това как се справил с няколко инцидента с Akira, проведени с използването на Cisco VPN акаунти, които не бяха защитени с многофакторна аутентикация. В разговор с BleepingComputer, Aura заяви, че поради липсата на регистрация в Cisco ASA, остава неясно дали Akira е използвала насила VPN акаунтите или ги е купила от тъмни пазари в дълбоката мрежа.

Докладът на SentinelOne WatchTower, споделен частно с BleepingComputer и фокусиращ се върху същия метод на атака, представя възможността за Akira да злоупотребява с неизвестна уязвимост в софтуера на Cisco VPN, която може да мине през аутентикацията при липса на многофакторна аутентикация.

SentinelOne намери доказателства, че Akira използва врати на Cisco VPN в утечена информация, публикувана на страницата за измама на групата, и забеляза характеристики, свързани с Cisco VPN, в поне осем случая, което показва, че това е част от продължаващата атакова стратегия на групата за рансъмуер.

Допълнително, анализаторите на SentinelOne WatchTower забелязаха, че Akira използва отворен инструмент за отдалечен достъп RustDesk, което я прави първата група за рансъмуер, известна със злоупотребата на този софтуер. Тъй като RustDesk е легитимен инструмент, присъствието му трудно би било забелязано и предлага тих отдалечен достъп до компютрите, обект на атака.

Другите предимства, които изтичат от използването на RustDesk, включват:

• Работа на няколко платформи – Windows, macOS и Linux, покривайки цялата целева област на Akira.
• Криптирани P2P връзки, което ги прави по-малко вероятни за засичане от инструменти за мониторинг на мрежовия трафик.
• Поддръжка на прехвърляне на файлове, което може да улесни изтичането на данни, оптимизирайки комплекта инструменти на Akira.

Други наблюдавани TTP (Тактики, Техники и Процедури) от SentinelOne в последните атаки на Akira включват достъп и манипулиране на SQL бази данни, деактивиране на защитните стени и активиране на RDP (Remote Desktop Protocol), деактивиране на LSA Protection и деактивиране на Windows Defender.

Тези не толкова скрити промени се извършват след като нападателите установят своето присъствие в средата и са готови да продължат към последните фази на атаката.

През края на юни 2023 г., Avast пусна безплатен декриптор за рансъмуера Akira. Въпреки това, злоумишлениците са подправили своите криптори след това, и инструментът на Avast ще помогне само на жертвите на по-стари версии. Представител на Cisco потвърди на BleepingComputer, че VPN продуктите на компанията поддържат MFA (многофакторна аутентикация) от доставчици в индустрията. Също така, клиентите могат да настроят/конфигурират регистрацията на Cisco ASAs, и препоръчителният подход е изпращането на регистрационни данни до отдалечен сървър за събирателен анализ. Това позволява по-добра корелация и одит на мрежови и сигурностни инциденти по различни мрежови устройства.

Възползвайте се от нашите услуги за да сте максимално защитени!

Прочетете оригиналната статия тук.