Cisco VPN в заложниках у Akira: вымогательское ПО виртуозно атакует корпоративные сети

Специалисты утверждают , что злоумышленники стали чаще использовать вымогательское ПО Akira для проникновения в корпоративные сети компаний через CiscoVPN. Впервые Akira было запущено в марте 2023 года. Сейчас программу дополнили Linux-шифровальщиком для атак на виртуальные машины VMware ESXi.

«Вымогатель» эксплуатирует уже скомпрометированные аккаунты Cisco VPN. Следовательно, хакерам не нужно устанавливать дополнительные бэкдоры и механизмы постоянного доступа. Как указала компания Sophos в своем отчете после одной из атак в мае, хакеры получили доступ к корпоративной сети, используя однофакторную аутентификацию.

Исследователь кибербезопасности, известный как «Aura», объяснил, что в устройствах Cisco ASA (Adaptive Security Appliance, решение для обеспечения сетевой безопасности) нет системы логирования. Из-за этого невозможно определить, были аккаунты взломаны методом подбора паролей или же куплены на темных рынках.

Аналитики SentinelOne WatchTower предположили, что Akira эксплуатирует неизвестные уязвимости в программном обеспечении Cisco VPN для обхода систем аутентификации. По словам компании, вымогательская программа также применяет алгоритм RustDesk для навигации по скомпрометированным сетям. RustDesk — это легальный инструмент для удаленного доступа, работающий на платформах Windows, macOS и Linux. Он известен зашифрованными P2P-соединениями и возможностью передачи файлов.

В арсенале Akira обнаружили и другие тактики: манипуляции с базами данных SQL, отключение брандмауэров, активация удаленного рабочего стола (RDP), а также отключение защитных механизмов Windows Defender и LSA Protection.

В связи с растущим числом атак представитель Cisco подтвердил, что их VPN-продукты будут поддерживать многофакторную аутентификацию от разных поставщиков. Это обеспечит дополнительный уровень защиты, который усложнит задачу взломщикам.

Компания Avast, специализирующаяся на разработке антивирусов, в июне 2023 года представила бесплатный инструмент для дешифровки данных, зашифрованных Akira. Однако этот дешифратор эффективен только против старых «штаммов». При этом разработчики Akira уже внесли изменения в свои алгоритмы.