Υπάρχουν ατράνταχτες αποδείξεις που υποδεικνύουν ότι το ransomware Akira στοχεύει τα προϊόντα Cisco VPN για να παραβιάσει επιχειρηματικά δίκτυα, να κλέψει και, τελικά, να κρυπτογραφήσει δεδομένα.
Δείτε επίσης: CloudNordic: Δεχτήκαμε επίθεση ransomware
Το Akira ransomware είναι μια σχετικά νέα επιχείρηση κλοπής δεδομένων που ξεκίνησε τον Μάρτιο του 2023, με την ομάδα να προσθέτει αργότερα έναν κρυπτογράφο Linux για να στοχεύει σε εικονικές μηχανές VMware ESXi.
Οι λύσεις Cisco VPN έχουν ευρεία αποδοχή σε πολλούς κλάδους για την παροχή ασφαλούς, κρυπτογραφημένης μετάδοσης δεδομένων μεταξύ χρηστών και εταιρικών δικτύων, συνήθως χρησιμοποιούμενων από υπαλλήλους που εργάζονται απομακρυσμένα.
Σύμφωνα με αναφορές, το Akira χρησιμοποίησε παραβιασμένους λογαριασμούς Cisco VPN για να παραβιάσει εταιρικά δίκτυα χωρίς να χρειάζεται να δημιουργήσει επιπλέον backdoors ή να θέσει μηχανισμούς επιμονής που θα μπορούσαν να την προδώσουν.
Η Sophos παρατήρησε για πρώτη φορά την κατάχρηση των λογαριασμών VPN από τον Akira τον Μάιο, όταν οι ερευνητές ανέφεραν ότι η ομάδα ransomware διέπραξε μια παραβίαση σε ένα δίκτυο χρησιμοποιώντας “πρόσβαση VPN χρησιμοποιώντας μονοπώλιο αυθεντικοποίησης”.
Ωστόσο, ένας ανταποκριτής σε περιστατικά, γνωστός ως “Aura”, μοιράστηκε περαιτέρω πληροφορίες στο Twitter για το πώς ανταποκρίθηκαν σε πολλά περιστατικά Akira που διαπράχθηκαν χρησιμοποιώντας λογαριασμούς Cisco VPN που δεν ήταν προστατευμένοι από πολυπαραγοντική πιστοποίηση.
Σε συνομιλία με το BleepingComputer, ο Aura δήλωσε ότι λόγω της έλλειψης καταγραφής στο Cisco ASA, παραμένει ασαφές εάν το Akira ransomware έκλεψε τα διαπιστευτήρια λογαριασμού του VPN ή τα αγόρασε από αγορές στο dark web.
Μια αναφορά της SentinelOne που μοιράστηκε ιδιωτικά με το BleepingComputer και επικεντρώνεται στην ίδια μέθοδο επίθεσης, παρουσιάζει την πιθανότητα του Akira να εκμεταλλεύεται μια άγνωστη ευπάθεια στο λογισμικό Cisco VPN που ίσως να μπορεί να παρακάμψει την πιστοποίηση στην απουσία του MFA.
Η SentinelOne ανέκαθεν αποτελεί πηγή αξιόπιστων πληροφοριών και ανακαλύψεων. Τα δεδομένα που δημοσιεύτηκαν στη σελίδα εκβιασμού της ομάδας Akira επιβεβαιώνουν ότι χρησιμοποιήθηκαν πύλες Cisco VPN, ενώ παρατηρήθηκαν χαρακτηριστικά που σχετίζονται με το Cisco VPN σε τουλάχιστον οκτώ περιπτώσεις, υποδηλώνοντας ότι αυτό αποτελεί μέρος μιας διαρκούς στρατηγικής επίθεσης από την ομάδα ransomware.
Επειδή το RustDesk είναι ένα νόμιμο εργαλείο, η παρουσία του είναι απίθανο να προκαλέσει οποιουσδήποτε συναγερμούς, επομένως μπορεί να προσφέρει αθόρυβη απομακρυσμένη πρόσβαση σε υπολογιστές που έχουν παραβιαστεί.
Άλλα οφέλη που προκύπτουν από τη χρήση του RustDesk περιλαμβάνουν:
- Λειτουργία πολλαπλών πλατφορμών σε Windows, macOS και Linux, που καλύπτει το πλήρες εύρος στόχευσης του Akira.
- Οι συνδέσεις P2P είναι κρυπτογραφημένες και ως εκ τούτου είναι λιγότερο πιθανό να επισημανθούν από τα εργαλεία παρακολούθησης της κυκλοφορίας δικτύου.
- Υποστηρίζει μεταφορά αρχείων που μπορεί να διευκολύνει την εξαγωγή δεδομένων, βελτιώνοντας το εργαλείο του Akira.
Άλλες τεχνικές που παρατηρήθηκαν από την SentinelOne στις πιο πρόσφατες επιθέσεις του Akira περιλαμβάνουν πρόσβαση και αλλοίωση βάσεων δεδομένων SQL, απενεργοποίηση των προστατευτικών τειχών προστασίας και ενεργοποίηση του RDP, απενεργοποίηση της προστασίας LSA και απενεργοποίηση του Windows Defender.
Αυτές οι αλλαγές πραγματοποιούνται αφού οι επιτιθέμενοι εγκαταστήσουν την παρουσία τους στο περιβάλλον και είναι έτοιμοι να προχωρήσουν στις τελικές φάσεις της επίθεσής τους.
Τον τελευταίο Ιούνιο του 2023, η Avast κυκλοφόρησε ένα δωρεάν αποκρυπτογραφητή για τον κινδύνου του ransomware Akira. Ωστόσο, οι χάκερ έχουν ενημερώσει τους κρυπτογράφους τους από τότε, και το εργαλείο της Avast θα βοηθήσει μόνο τα θύματα παλαιότερων εκδόσεων.
Πηγή πληροφοριών: bleepingcomputer.com
