引言
近年来,网络安全威胁日益严重,尤其是勒索病毒的攻击方式层出不穷。最近,有证据表明,Akira勒索病毒将Cisco VPN(虚拟专用网络)产品作为攻击向量,企图侵入企业网络、窃取并最终加密数据。本文将深入探讨Akira勒索病毒的特点及其对Cisco VPN的攻击方式。
Akira勒索病毒的背景
Akira勒索病毒是一种相对较新的勒索病毒操作,于2023年3月推出。该团伙后来还增加了针对VMware ESXi虚拟机的Linux加密工具。Cisco VPN解决方案在各行业广泛采用,以提供用户与企业网络之间的安全加密数据传输,通常用于远程工作的员工。
Akira如何利用Cisco VPN
根据报道,Akira已经开始利用被攻陷的Cisco VPN账户,入侵企业网络,而无需再安装额外的后门或设置持久化机制来掩盖其行踪。Sophos在5月份首次注意到Akira对VPN账户的滥用,研究人员表示,该勒索病毒团伙利用“单因素认证的VPN访问”攻陷了网络。
多因素认证的缺失
事件响应者'Aura'在Twitter上分享了他们对多个使用Cisco VPN账户的Akira事件的响应情况。Aura与BleepingComputer的对话中提到,由于Cisco ASA缺乏日志记录,尚不清楚Akira是通过暴力破解VPN账户凭据,还是在暗网市场上购买了这些凭据。
根据SentinelOne的WatchTower报告,Akira可能正在利用Cisco VPN软件中的未知漏洞,绕过多因素认证(MFA),这让攻击变得更加隐蔽。
Akira的攻击策略
SentinelOne发现,Akira在其勒索页面上发布的泄露数据中使用了Cisco VPN网关,并在至少八个案例中观察到与Cisco VPN相关的特征,表明这可能是该勒索病毒团伙持续攻击策略的一部分。
RustDesk远程访问的使用
此外,SentinelOne的分析师观察到,Akira使用RustDesk这一开源远程访问工具来导航被攻陷的网络,成为首个已知滥用该软件的勒索病毒团伙。由于RustDesk是一个合法工具,其存在不太可能引起警觉,因此可以为被攻陷的计算机提供隐蔽的远程访问。
使用RustDesk的其他优势包括:
- 跨平台操作:支持Windows、macOS和Linux,覆盖Akira的全部攻击范围。
- P2P连接加密:因此不太可能被网络流量监控工具标记。
- 文件传输支持:便于数据外泄,简化Akira的工具包。
攻击后的行动
SentinelOne在Akira最新攻击中观察到的其他战术、技术和程序(TTP)包括访问和操纵SQL数据库、禁用防火墙和启用远程桌面协议(RDP)、禁用本地安全授权(LSA)保护以及禁用Windows Defender。这些不太明显的变化是在攻击者在环境中建立存在后进行的,准备进入攻击的最后阶段。
最新动态与防护措施
2023年6月底,Avast发布了Akira勒索病毒的免费解密工具。然而,自那时以来,威胁行为者已对其加密工具进行了修补,因此Avast的工具只能帮助较旧版本的受害者。
Cisco的防护建议
更新于8月24日,Cisco发言人向BleepingComputer确认,其VPN产品支持来自行业各方的多因素认证(MFA)。此外,客户可以在Cisco ASA上设置/配置日志记录,推荐的方法是将日志数据发送到远程syslog服务器。这有助于提高对各种网络设备的网络和安全事件的关联性和审计能力。
结论
Akira勒索病毒的出现提醒我们,网络安全威胁正在不断演变。企业应高度重视VPN安全,确保启用多因素认证,并定期检查和更新安全措施,以抵御潜在的攻击。
