Хакеры атакуют SSL VPN Cisco Adaptive Security Appliance (ASA), используя набивку учетных данных и атаки методом "грубой силы", используя пробелы в системе защиты, например, отсутствие многофакторной аутентификации (MFA).
Банда разработчиков вымогательского ПО Akira использует VPN-соединения Cisco для получения первоначального доступа к сети.
Исследователи безопасности Rapid7 в опубликованном во вторник отчете предоставили дополнительные сведения об этих инцидентах, показав, что злоумышленники направляют свои усилия на эти устройства с марта этого года в рамках атак методом грубой силы, направленных на угадывание учетных данных целей.
В отчете также говорится, что пока не обнаружено ни одного случая, когда участники этих атак обходили правильно настроенный MFA для взлома VPN Cisco.
Это подтверждает сообщение группы реагирования на инциденты безопасности продуктов Cisco (PSIRT), опубликованное через два дня о том, что злоумышленники используют автоматизированные инструменты для атак на VPN Cisco с использованием брутфорса и распыления паролей.
"В описанных сценариях атак протоколирование не было настроено в затронутых ASA компании Cisco. Это затрудняет точное определение того, как злоумышленники с программой-вымогателем Akira смогли получить доступ к VPN", - сказал главный инженер Cisco PSIRT Омар Сантос.
"Если злоумышленнику удается получить несанкционированный доступ к учетным данным VPN пользователя, например, путем атаки методом грубой силы, MFA обеспечивает дополнительный уровень защиты, не позволяя злоумышленникам получить доступ к VPN".
Rapid7 также сообщила, что в период с 30 марта по 24 августа по меньшей мере 11 заказчиков подверглись атакам, связанным с Cisco ASA, причем эти атаки были связаны со взломанными SSL VPN.
В большинстве инцидентов, расследованных Rapid7, злоумышленники пытались войти в устройства ASA, используя имена пользователей, варьирующиеся от admin, guest, kali и cisco до test, printer, security и inspector.
Rapid7 также сообщила, что в большинстве атак использовалась схожая инфраструктура: злоумышленники подключались с Windows-устройства под именем 'WIN-R84DEUE96RB' и использовали IP-адреса 176.124.201[.]200 и 162.35.92[.]242.
После взлома VPN-устройств злоумышленники получали удаленный доступ к сетям жертв с помощью программы для удаленного рабочего стола AnyDesk и осуществляли компрометацию других систем, используя доменные учетные данные, полученные в результате дампа базы данных Active Directory NTDS.DIT.
Некоторые взломы привели к атакам с использованием программ-вымогателей LockBit и Akira
"Несколько инцидентов, на которые отреагировали наши команды управляемых служб, закончились развертыванием программ-вымогателей группами Akira и LockBit", - говорится в сообщении Rapid7.
"Эти инциденты подтверждают, что использование слабых учетных данных или учетных данных по умолчанию остается распространенным явлением, а учетные данные в целом часто не защищены в результате слабого применения MFA в корпоративных сетях".
В частном отчете SentinelOne WatchTower говорится о том, что операторы Akira могут использовать нераскрытую уязвимость в ПО Cisco VPN, которая позволяет злоумышленникам обходить аутентификацию в системах без многофакторной аутентификации (MFA).
Анализируя утечку данных, специалисты SentinelOne также обнаружили свидетельства использования компанией Akira VPN-шлюзов Cisco.
Администраторам и службам безопасности рекомендуется деактивировать учетные записи и пароли по умолчанию, чтобы блокировать попытки перебора в системах VPN.
Кроме того, следует убедиться в том, что для всех пользователей VPN применяется MFA и что на всех VPN включено протоколирование, что поможет при необходимости провести анализ атак.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!