Há crescentes evidências de que o ransomware Akira tem como alvo os produtos Cisco VPN (rede privada virtual) como um vetor de ataque para invadir redes corporativas, roubar e, eventualmente, criptografar dados.
O ransomware Akira é uma operação relativamente nova, lançada em março de 2023, com o grupo adicionando posteriormente um criptografador para Linux para atacar máquinas virtuais VMware ESXi.
As soluções de VPN da Cisco são amplamente adotadas em muitos setores para fornecer transmissão segura e criptografada de dados entre usuários e redes corporativas, geralmente usadas por funcionários que trabalham remotamente.
Segundo relatos, o Akira tem usado contas comprometidas de VPN de Cisco para invadir redes corporativas sem a necessidade de inserir backdoors adicionais ou criar mecanismos de persistência que poderiam revelá-los.
A Sophos foi a primeira a notar o abuso do Akira das contas de VPN em maio, quando os pesquisadores afirmaram que a quadrilha de ransomware invadiu uma rede usando "acesso à VPN com autenticação de Fator Único".
No entanto, um socorrista de incidentes, conhecido como "Aura", compartilhou mais informações no Twitter sobre como eles responderam a vários incidentes do Akira que foram conduzidos usando contas de VPN da Cisco que não estavam protegidas pela autenticação de múltiplos fatores.
Em uma conversa com o BleepingComputer, Aura afirmou que devido à falta de registro no Cisco ASA, permaneceu incerto se o Akira forçou as credenciais da conta VPN ou se as comprou nos mercados da web escura.
Um relatório WatchTower da SentinelOne, compartilhado privadamente com o BleepingComputer e focado no mesmo método de ataque, apresenta a possibilidade de o Akira explorar uma vulnerabilidade desconhecida no software Cisco VPN que poderia ser capaz de contornar a autenticação na ausência de MFA.
A SentinelOne encontrou evidências do uso de gateways VPN da Cisco pelo Akira em dados vazados postados na página de extorsão do grupo e observou características relacionadas ao VPN da Cisco em pelo menos oito casos, indicando que isso faz parte de uma estratégia de ataque contínuo pela quadrilha do ransomware.
Além disso, os analistas do WatchTower da SentinelOne observaram o Akira usando a ferramenta de acesso remoto de código aberto RustDesk para navegar em redes comprometidas, tornando-os o primeiro grupo de ransomware conhecido a abusar do software.
Como o RustDesk é uma ferramenta legítima, sua presença é improvável que cause algum alarme, portanto, pode oferecer acesso remoto furtivo aos computadores comprometidos.
Outros benefícios que surgem do uso do RustDesk incluem: Outros TTPs observados pela SentinelOne nos últimos ataques do Akira incluem acesso e manipulação de banco de dados SQL, desativação de firewalls e ativação do RDP, desativação da Proteção LSA e desativação do Windows Defender.
Essas mudanças não tão sutis são realizadas depois que os invasores estabelecem sua presença no ambiente e estão prontos para prosseguir para as fases finais de seu ataque.
No final de junho de 2023, a Avast lançou um descodificador gratuito para o ransomware Akira.
No entanto, os atores de ameaças corrigiram seus criptografadores desde então, e a ferramenta da Avast só ajudará as vítimas de versões mais antigas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...