Akira fidye yazılımının Cisco VPN (sanal özel ağ) ürünlerini kurumsal ağları ihlal etmek, çalmak ve sonunda verileri şifrelemek için bir saldırı vektörü olarak hedeflediğine dair kanıtlar var.
Akira Ransomware, Mart 2023'te piyasaya sürülen nispeten yeni bir fidye yazılımı işlemidir ve grup daha sonra VMware ESXI sanal makinelerini hedeflemek için bir Linux şifrelemesi ekler.
Cisco VPN çözümleri, genellikle uzaktan çalışan çalışanlar tarafından kullanılan kullanıcılar ve kurumsal ağlar arasında güvenli, şifreli veri iletimi sağlamak için birçok sektörde yaygın olarak benimsenmiştir.
Bildirildiğine göre, Akira, ek backdours bırakmaya veya onları verebilecek kalıcılık mekanizmaları oluşturmaya gerek kalmadan kurumsal ağları ihlal etmek için tehlikeye atılmış Cisco VPN hesaplarını kullanıyor.
Sophos ilk olarak Akira'nın Mayıs ayında VPN hesaplarını kötüye kullandığını, araştırmacıların fidye yazılımı çetesinin "tek faktörlü kimlik doğrulama kullanarak VPN erişimi" kullanarak bir ağı ihlal ettiğini belirtti.
Bununla birlikte, 'Aura' olarak bilinen bir olay yanıtlayıcısı, Twitter hakkında çok faktörlü kimlik doğrulaması ile korunmayan Cisco VPN hesapları kullanılarak yapılan birden fazla Akira olayına nasıl yanıt verdikleri hakkında daha fazla bilgi paylaştı.
BleepingComputer ile yapılan bir konuşmada, Aura, Cisco Asa'da günlük kaydı olmaması nedeniyle Akira Brute'un VPN hesap kimlik bilgilerini zorlayıp zorlamadığını veya karanlık web pazarlarından satın alıp almadıklarını belirsiz kaldı.
BleepingComputer ile özel olarak paylaşılan ve aynı saldırı yöntemine odaklanan bir Sentinelone Watchtower raporu, Akira'nın Cisco VPN yazılımında MFA yokluğunda kimlik doğrulamasını atlayabilecek bilinmeyen bir güvenlik açığından yararlanma olasılığını sunar.
Sentinelone, grubun gasp sayfasında yayınlanan sızdırılmış verilerde Cisco VPN ağ geçitlerini kullanan Akira'nın kanıtını buldu ve en az sekiz vakada Cisco VPN ile ilgili özellikleri gözlemledi ve bunun fidye yazılımı çetesi tarafından devam eden bir saldırı stratejisinin bir parçası olduğunu gösterdi.
Buna ek olarak, Sentinelone Watchtower'ın analistleri Akira'yı, tehlikeye atılan ağlarda gezinmek için Rustdesk açık kaynaklı uzaktan erişim aracını kullandılar ve onları yazılımı kötüye kullandığı bilinen ilk fidye yazılımı grubu haline getirdi.
Rustdesk meşru bir araç olduğundan, varlığının herhangi bir alarmı yükseltmesi olası değildir, bu nedenle ihlal edilen bilgisayarlara gizli uzaktan erişim sunabilir.
Rustdesk kullanmaktan kaynaklanan diğer faydalar şunlardır:
Akira'nın son saldırılarında SentinelOne tarafından gözlemlenen diğer TTP'ler arasında SQL veritabanı erişimi ve manipülasyonu, güvenlik duvarlarının devre dışı bırakılması ve RDP'nin etkinleştirilmesi, LSA korumasının devre dışı bırakılması ve Windows Defender'ı devre dışı bırakma yer alıyor.
Bu kadar ince olmayan bu değişiklikler, saldırganlar çevredeki varlıklarını oluşturduktan ve saldırılarının son aşamalarına devam etmeye hazır olduktan sonra gerçekleştirilir.
Haziran 2023'ün sonlarında Avast, Akira Ransomware için ücretsiz bir şifreleme yayınladı. Bununla birlikte, tehdit aktörleri o zamandan beri şifrelemelerini yamaladı ve Avast'ın aracı sadece eski versiyonların kurbanlarına yardımcı olacak.
K-12 ve kolejlere yönelik fidye yazılımı saldırılarına karşı okul güvenliğine geri dön
Ransomware'de Hafta - 4 Ağustos 2023 - VMware ESXI hedefleme
Bir fidye yazılımı saldırısı nedeniyle toplu şifre sıfırlama nasıl yönetilir
Ransomware'de Hafta - 28 Temmuz 2023 - Yeni Fasar Taktikleri
Fidye yazılımı saldırıları için Google Reklamları aracılığıyla yeni azot kötü amaçlı yazılım
Kaynak: Bleeping Computer