Modern technology gives us many things.

Το Akira ransomware στοχεύει τα Cisco VPN για να παραβιάσουν οργανισμούς

Υπάρχουν αυξανόμενες ενδείξεις ότι το Akira ransomware στοχεύει προϊόντα Cisco VPN (εικονικό ιδιωτικό δίκτυο) ως φορέα επίθεσης για να παραβιάσει εταιρικά δίκτυα, να κλέψει και τελικά να κρυπτογραφήσει δεδομένα.

Το Akira ransomware είναι μια σχετικά νέα λειτουργία ransomware που ξεκίνησε τον Μάρτιο του 2023, με την ομάδα να προσθέτει αργότερα έναν κρυπτογράφηση Linux για να στοχεύει εικονικές μηχανές VMware ESXi.

Οι λύσεις Cisco VPN υιοθετούνται ευρέως σε πολλούς κλάδους για να παρέχουν ασφαλή, κρυπτογραφημένη μετάδοση δεδομένων μεταξύ χρηστών και εταιρικών δικτύων, που συνήθως χρησιμοποιούνται από εργαζόμενους που εργάζονται εξ αποστάσεως.

Σύμφωνα με πληροφορίες, ο Akira χρησιμοποιεί παραβιασμένους λογαριασμούς Cisco VPN για να παραβιάσει τα εταιρικά δίκτυα χωρίς να χρειάζεται να απορρίψει επιπλέον backdoors ή να δημιουργήσει μηχανισμούς επιμονής που θα μπορούσαν να τους εξαφανίσουν.

Το Akira στοχεύει τα Cisco VPN

Ο Sophos σημείωσε για πρώτη φορά την κατάχρηση λογαριασμών VPN από τον Akira τον Μάιο, όταν οι ερευνητές δήλωσαν ότι η συμμορία ransomware παραβίασε ένα δίκτυο χρησιμοποιώντας “πρόσβαση VPN χρησιμοποιώντας έλεγχο ταυτότητας ενός παράγοντα”.

Ωστόσο, ένας ανταποκριτής συμβάντων, γνωστός ως “Aura”, μοιράστηκε περισσότερες πληροφορίες στο Twitter σχετικά με τον τρόπο με τον οποίο απάντησαν σε πολλά περιστατικά Akira που πραγματοποιήθηκαν χρησιμοποιώντας λογαριασμούς Cisco VPN που δεν προστατεύονταν από έλεγχο ταυτότητας πολλαπλών παραγόντων.

Aura tweet

Σε μια συνομιλία με το BleepingComputer, η Aura δήλωσε ότι λόγω της έλλειψης σύνδεσης στο Cisco ASA, παρέμεινε ασαφές εάν ο Akira εξανάγκασε τα διαπιστευτήρια του λογαριασμού VPN ή αν τα αγόρασε σε αγορές σκοτεινού ιστού.

Μια αναφορά SentinelOne που κοινοποιήθηκε ιδιωτικά με το BleepingComputer και εστιάζοντας στην ίδια μέθοδο επίθεσης παρουσιάζει την πιθανότητα ο Akira να εκμεταλλευτεί μια άγνωστη ευπάθεια στο λογισμικό Cisco VPN που ενδέχεται να μπορεί να παρακάμψει τον έλεγχο ταυτότητας απουσία MFA.

Το SentinelOne βρήκε στοιχεία ότι ο Akira χρησιμοποιεί πύλες VPN Cisco σε δεδομένα που διέρρευσαν που δημοσιεύτηκαν στη σελίδα εκβιασμών του ομίλου και παρατήρησε χαρακτηριστικά που σχετίζονται με το Cisco VPN σε τουλάχιστον οκτώ περιπτώσεις, υποδεικνύοντας ότι αυτό αποτελεί μέρος μιας συνεχιζόμενης στρατηγικής επίθεσης από τη συμμορία ransomware.

Το χαρακτηριστικό Cisco VPN παρατηρήθηκε σε οκτώ επιθέσεις Akira
Το χαρακτηριστικό Cisco VPN παρατηρήθηκε σε οκτώ επιθέσεις Akira
Πηγή: SentinelOne

Απομακρυσμένη πρόσβαση RustDesk

Επιπλέον, οι αναλυτές του SentinelOne παρατήρησαν τον Akira χρησιμοποιώντας το RustDesk εργαλείο απομακρυσμένης πρόσβασης ανοιχτού κώδικα για την πλοήγηση σε παραβιασμένα δίκτυα, καθιστώντας τα την πρώτη ομάδα ransomware που είναι γνωστό ότι κάνει κατάχρηση του λογισμικού.

Επειδή το RustDesk είναι ένα νόμιμο εργαλείο, η παρουσία του είναι απίθανο να προκαλέσει συναγερμούς, επομένως μπορεί να προσφέρει μυστική απομακρυσμένη πρόσβαση σε υπολογιστές που έχουν παραβιαστεί.

Άλλα οφέλη που προκύπτουν από τη χρήση του RustDesk περιλαμβάνουν:

  • Λειτουργία πολλαπλών πλατφορμών σε Windows, macOS και Linux, που καλύπτει το πλήρες εύρος στόχευσης του Akira.
  • Οι συνδέσεις P2P είναι κρυπτογραφημένες και ως εκ τούτου είναι λιγότερο πιθανό να επισημανθούν από τα εργαλεία παρακολούθησης της κυκλοφορίας δικτύου.
  • Υποστηρίζει τη μεταφορά αρχείων που μπορεί να διευκολύνει την εξαγωγή δεδομένων, βελτιστοποιώντας την εργαλειοθήκη του Akira.

Άλλα TTP που παρατηρήθηκαν από το SentinelOne στις τελευταίες επιθέσεις του Akira περιλαμβάνουν πρόσβαση σε βάση δεδομένων SQL και χειρισμό, απενεργοποίηση τείχη προστασίας και ενεργοποίηση RDP, απενεργοποίηση προστασίας LSA και απενεργοποίηση του Windows Defender.

Αυτές οι όχι και τόσο λεπτές αλλαγές πραγματοποιούνται αφού οι επιτιθέμενοι εδραιώσουν την παρουσία τους στο περιβάλλον και είναι έτοιμοι να προχωρήσουν στις τελευταίες φάσεις της επίθεσής τους.

Στα τέλη Ιουνίου 2023, η Avast κυκλοφόρησε έναν δωρεάν αποκρυπτογραφητή για το Akira ransomware. Ωστόσο, οι φορείς απειλών έχουν επιδιορθώσει τους κρυπτογραφητές τους από τότε και το εργαλείο της Avast θα βοηθήσει μόνο θύματα παλαιότερων εκδόσεων.





bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση