Οι εγκληματίες στον κυβερνοχώρο, οι οποίοι χρησιμοποιούν το ransomware REvil για να στοχεύσουν μεγάλες επιχειρήσεις, φαίνεται πως έχουν στραφεί σε μη ενημερωμένους Pulse Secure VPN servers.
Όπως αναφέρει ένας ερευνητής ασφαλείας, οι εταιρείες και οι οργανισμοί που χρησιμοποιούν Pulse Secure VPN, πρέπει να ενημερώσουν άμεσα τους servers τους, αλλιώς βρίσκονται σε κίνδυνο να αντιμετωπίσουν επιθέσεις ransomware, οι οποίες μπορούν εύκολα να χρησιμοποιήσουν τη μηχανή αναζήτησης Shodan.io IoT για να εντοπίσουν τους ευπαθείς VPN servers.
Το ransomware REvil χρησιμοποιήθηκε μόλις τον περασμένο μήνα για να πραγματοποιήσει επίθεση στην CyrusOne, ενώ κατά τη διάρκεια του καλοκαιριού, επιτέθηκε σε παρόχους υπηρεσιών, 20 τοπικές κυβερνήσεις του Τέξας και περισσότερα από 400 οδοντιατρικά γραφεία.
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ο Kevin Beaumont, ένας διακεκριμένος ερευνητής ασφαλείας από το Ηνωμένο Βασίλειο, χαρακτηρίζει το REvil ως ένα ransomware «μεγάλου παιχνιδιού», αφού οι εγκληματίες το χρησιμοποίησαν για να κρυπτογραφήσουν κρίσιμα επιχειρηματικά συστήματα και να απαιτήσουν τεράστια χρηματικά ποσά. Το στέλεχος του ransomware, που ανακαλύφθηκε τον Απρίλιο, χρησιμοποίησε αρχικά μια ευπάθεια στο Oracle WebLogic για να μολύνει τα συστήματα.
Νωρίτερα υπήρξαν υπόνοιες ότι κυβερνητικοί hackers είχαν βάλει στο στόχαστρό τους προϊόντα Pulse Secure και Fortinet.
Τώρα το ελάττωμα έχει υιοθετηθεί από εγκληματίες του κυβερνοχώρου, πιθανώς επειδή είναι ένα τόσο ισχυρό σφάλμα.
Όπως επισημαίνει ο Beaumont, το σφάλμα που υπάρχει στους servers είναι “πολύ κακό” καθώς μπορεί να επιτρέψει σε απομακρυσμένους εισβολείς, που δεν διαθέτουν έγκυρα διαπιστευτήρια, να συνδεθούν εξ αποστάσεως με ένα εταιρικό δίκτυο και τους δίνει τη δυνατότητα να απενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να απομακρύνουν αρχεία καταγραφής και αποθηκευμένους κωδικούς πρόσβασης σε απλό κείμενο.
Αφού αποκτήσουν πρόσβαση στο δίκτυο, στη συνέχεια αποκτούν πρόσβαση στο διαχειριστή τομέα και έπειτα χρησιμοποιούν το λογισμικό ανοικτής πηγής VNC για απομακρυσμένη πρόσβαση ώστε να μετακινηθούν στο δίκτυο.
Σύμφωνα με την εταιρεία ασφάλειας Bad Packets, υπήρχαν 3.825 servers Pulse Secure VPN που είχαν το ελάττωμα CVE-2019-11510. Πάνω από 1.300 από αυτούς τους ευπαθείς VPN servers βρίσκονταν στις ΗΠΑ.
Η Pulse Secure δήλωσε ότι οι περισσότεροι από τους πελάτες της έχουν πλέον εφαρμόσει επιτυχώς την ενημέρωση που εξέδωσε τον Απρίλιο του 2019 και δεν είναι πλέον ευάλωτες.