MFA’sız Cisco VPN’ler fidye yazılımı operatörünün saldırısı altında


Birçok araştırmacı, MFA’sız Cisco VPN’leri hedef alan fidye yazılımı saldırıları görüyor

Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), Çok Faktörlü Kimlik Doğrulaması (MFA) olmayan VPN’leri hedef alan Akira fidye yazılımı hakkında bir blog yayınladı.

Cisco ekibi, Akira fidye yazılımı grubunun özellikle MFA için yapılandırılmamış Cisco VPN’lerin peşine düştüğüne dair raporlardan haberdar olduğunu belirtiyor. Siber suçluların, VPN kullanıcıları için MFA’yı yapılandırmayan kuruluşları hedef aldığı örnekleri de gözlemlediler.

Ekibin farkında olabileceği raporlardan biri, güvenlik araştırmacısı ve olay müdahale görevlisi tarafından haftalar önce tweet atılmıştı. aura:

Olay müdahale görevlisi Aura'nın tweet'i

“Ben sadece devam edeceğim ve söyleyeceğim. Eğer varsa:
Cisco VPN’i
Bunun için MFA yok
Yakında #Akira #Ransomware’den sürpriz bir haber alabilirsiniz.”

Cisco VPN çözümleri, kullanıcılar ve kurumsal ağlar arasında güvenli, şifreli veri iletimi sağlamak için yaygın olarak kullanılır ve genellikle uzaktaki çalışanlar tarafından kullanılır. Erişim kazanmak, saldırganların ağ içinde daha fazla hareketi kolaylaştırmak ve gerekirse ayrıcalıkları yükseltmek için LSASS (Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti) dökümleri aracılığıyla kimlik bilgilerini almasına olanak tanıyabilir.

Araştırmacıların belirleyemediği şey, fidye yazılımı operatörlerinin Cisco VPN’in hesap oturum açma kimlik bilgilerine ilk etapta nasıl erişim sağladığı ve aynı zamanda Cisco ASA’nın (Adaptive Security Appliance) başarılı sonuçlar için bir günlük kaydı işlevine sahip olmaması nedeniyle engellendiğidir. girişler. Etkilenen Cisco ASA’larında günlük kaydı yapılandırılmışsa, günlüklerde yalnızca geçersiz kullanıcı adı/şifre kombinasyonlarına sahip oturum açma girişimleri bulunabilir.

Suçluların geçerli kimlik bilgilerini karanlık ağdan satın alarak edinmiş olmaları, sıfır gün istismarı kullanıyor olmaları veya kaba kuvvet veya kimlik bilgileri doldurma saldırıları kullanıyor olmaları mümkündür. Kimlik bilgisi doldurma, halihazırda ihlal edilmiş veri dökümlerinden elde edilen kullanıcı adı-şifre kombinasyonlarını kullanarak çevrimiçi hesaplara erişmeye çalışmanın popüler bir taktiğidir. Kaba kuvvet saldırısında, saldırganlar genellikle çok sayıda ortak parolayı veya birçok kullanıcı adında birkaç ortak parolayı dener; buna parola püskürtme adı verilir. Parola püskürtme, genellikle hesap kilitlenmelerini ve tespit edilmesini önlemek için birçok hesapta birkaç parola denemeye odaklanır.

Cisco, kaba kuvvet ve parola püskürtme girişimlerine dair kanıtlar gördüğünü söyledi. Diğer araştırmacılar, grubun şantaj sayfasında yayınlanan sızdırılmış verilerde Akira’nın Cisco VPN ağ geçitlerini kullandığına dair kanıt bulduklarını ve güvenlik açığı senaryosuna eğilimli göründüklerini söylüyor.

Erişim elde etmek için hangi yol kullanılırsa kullanılsın, MFA eklemenin bu saldırılarla mücadelede önemli bir faktör olduğu daha da belirgin hale geldi.

Fidye yazılımından nasıl kaçınılır

  • Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
  • İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
  • İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
  • Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
  • Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
  • İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.

Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.

ŞİMDİ DENE





Source link