Son kanıtlar, Akira fidye yazılımının kurumsal ağlara sızmak, veri çalmak ve sonunda şifrelemek için bir saldırı vektörü olarak Cisco VPN (sanal özel ağ) ürünlerini hedef aldığını gösteriyor. Akira fidye yazılımı, Mart 2023’te başlatılan nispeten yeni bir fidye yazılımı operasyonudur ve grup daha sonra VMware ESXi sanal makinelerine yönelik Linux şifreleyici ekledi. Cisco VPN çözümleri, uzaktan çalışan çalışanlar tarafından tipik olarak kullanılan, kullanıcılar ile kurumsal ağlar arasında güvenli, şifrelenmiş veri iletimi sağlamak için birçok endüstride geniş çapta kullanılmaktadır. Raporlara göre, Akira, kurumsal ağlara sızmak için kompromize edilmiş Cisco VPN hesaplarını kullanıyor ve ek arka kapılar bırakma veya kendilerini ele verebilecek süreklilik mekanizmaları kurma ihtiyacı duymuyor.

Akira, Cisco VPN’leri Hedef Alıyor

Sophos, Akira’nın VPN hesaplarını kötüye kullanımını ilk kez Mayıs ayında fark etti ve araştırmacılar ransomware grubunun “Tek Faktörlü Kimlik Doğrulama kullanarak VPN erişimi” ile bir ağı ihlal ettiğini belirtti.

Ancak olay yanıtlayıcısı olarak bilinen ‘Aura,’ Twitter’da, Cisco VPN hesaplarını kötüye kullanan birden çok Akira olayına nasıl yanıt verdiklerine dair daha fazla bilgi paylaştı. Aura, BleepingComputer ile yaptığı bir sohbette, Cisco ASA’da kayıt eksikliği nedeniyle, Akira’nın VPN hesabı kimlik bilgilerini zorla deneyip denemediğinin veya onları karanlık web pazarlarından satın alıp almadığının belirsiz kaldığını belirtti.

BleepingComputer ile özel olarak paylaşılan SentinelOne WatchTower raporu, aynı saldırı yöntemine odaklanarak Akira’nın Cisco VPN yazılımında bilinmeyen bir güvenlik açığını sömürme olasılığını ortaya koyuyor ki bu açık MFA (çok faktörlü kimlik doğrulama) olmadan kimlik doğrulamayı geçebilir.

SentinelOne, Akira’nın Cisco VPN ağ geçitlerini kullandığına dair kanıtları grubun şantaj sayfasında sızan verilerde buldu ve en az sekiz vakada Cisco VPN ile ilgili özellikler gözlemledi. Bu, fidye yazılımı grubunun sürekli bir saldırı stratejisinin bir parçası olduğunu göstermektedir.

Uzaktan RustDesk Erişimi

Ayrıca, SentinelOne WatchTower analistleri, Akira’nın kompromize edilmiş ağlarda RustDesk açık kaynaklı uzaktan erişim aracını kullandığını gözlemledi ve böylece bu yazılımı kötüye kullanan ilk fidye yazılımı grubu oldular. RustDesk meşru bir araç olduğundan, varlığı herhangi bir uyarıya neden olmaz, böylece kötüye kullanılan bilgisayarlara gizli uzaktan erişim sunabilir.

RustDesk kullanmanın getirdiği diğer avantajlar arasında:

• Windows, macOS ve Linux üzerinde çapraz platform işlemesi, Akira’nın hedef kitlesini kapsaması.
• P2P bağlantılarının şifrelenmiş olması ve bu nedenle ağ trafiği izleme araçları tarafından tespit edilme olasılığının düşük olması.
• Veri transferini desteklemesi, Akira’nın araç takımını optimize edebilir.

SentinelOne tarafından Akira’nın son saldırıları sırasında gözlemlenen diğer TTP’ler arasında SQL veritabanı erişimi ve manipülasyonu, güvenlik duvarlarını devre dışı bırakma ve RDP’yi etkinleştirme, LSA Korumasını devre dışı bırakma ve Windows Defender’ı devre dışı bırakma yer alıyor. Bu tür değişiklikler saldırganlar, ortamda varlıklarını kurduktan sonra gerçekleştirilir ve saldırılarının son aşamalarına geçerler.

2023 Haziran’ın sonlarında, Avast, Akira fidye yazılımı için ücretsiz bir şifre çözücü yayınladı. Ancak tehdit aktörleri şifreleyicilerini o zamandan beri yamaladılar ve Avast’ın aracı yalnızca eski sürüm kurbanlarına yardımcı olacaktır. Cisco sözcüsü, firmanın VPN ürünlerinin endüstri genelindeki tüm MFA (çok faktörlü kimlik doğrulama) sağladığını doğruladı. Ayrıca, müşteriler Cisco ASAs’ta kayıt ayarlayabilir/konfigüre edebilir ve önerilen yaklaşım kayıt verilerini uzaktan bir syslog sunucusuna göndermektir. Bu, çeşitli ağ cihazlarında ağ ve güvenlik olaylarını daha iyi bir şekilde ilişkilendirmeyi ve denetlemeyi sağlar.