Akira fidye yazılımı, 2023’ün ortasından bu yana çeşitli güvenlik firmaları tarafından defalarca tespit edildi, ancak bu sefer büyük balıkları hedef alarak manşetlere çıktı: CISCO VPN’leri.
Önemli bulgular
- Cisco VPN ürünleri, kurumsal varlıklara yönelik hedefli saldırılara odaklanan, yeni tanımlanan fidye yazılımı grubu Akira tarafından istismar ediliyor.
- Akira çetesi, yetkisiz erişim elde etmek için Cisco VPN’lerdeki güvenlik açıklarından yararlanarak fidye yazılımı saldırıları başlatmalarına ve hassas bilgiler için fidye talep etmelerine olanak tanıyor.
- Akira çetesinin öncelikli hedefi kurumsal ağlara, özellikle de VPN erişimi için çok faktörlü kimlik doğrulaması (MFA) olmayanlara sızmak ve onları tehlikeye atmak.
- Araştırmacılar, bilgisayar korsanlarının, yetkisiz erişim elde etmek için çoğunlukla MFA’sı olmayan VPN hesaplarını etkileyen sıfır gün güvenlik açığından yararlanmış olabileceğinden şüpheleniyor.
- Akira fidye yazılımının eğitim, emlak, sağlık, üretim ve şirketler de dahil olmak üzere çeşitli sektörleri hedef aldığı gözlemlendi ve bu da çeşitli sektörlere yönelik geniş ve kalıcı bir tehdide işaret ediyor.
Çok sayıda siber güvenlik firması, Cisco VPN ürünlerinin fidye yazılımı tarafından hedef alındığını ve faillerin Akira olarak tanımlanan nispeten yeni bir çetenin üyeleri olduğunu doğruladı.
Yalnızca hassas bilgileri ele geçirmeyi ve fidye yoluyla para kazanmayı amaçlayan bu fidye yazılımı kampanyasının birincil hedefi kurumsal varlıklardır. Akira üyelerinin tek ihtiyacı olan VPN hizmetinden hesaplara giriş yapmaktır.
Ancak araştırmacılar, Cisco ASA’nın bir günlük kaydı işlevine sahip olmadığı göz önüne alındığında, bilgisayar korsanlarının Cisco VPN hesaplarının oturum açma kimlik bilgilerine ilk etapta nasıl eriştiklerini belirleyemediler.
Akira fidye yazılımı, 2023’ün ortalarından bu yana birçok güvenlik firması tarafından defalarca tespit edildi. Örneğin Sophos bunu Mayıs ayında tespit etti ve çetenin, Tek faktörlü kimlik doğrulama yoluyla istedikleri ağları hedeflemek için VPN erişimini kullandığını bildirdi.
Başka bir raporda, SecurityAura takma adını kullanan bir olay müdahale görevlisi belirtilmiş Akira’nın yalnızca (çok faktörlü kimlik doğrulama) özelliği olmayan VPN hesaplarının güvenliğini ihlal edebileceğini söyledi.
Devam edip söyleyeceğim. Eğer varsa:
Cisco VPN’i
Bunun için MFA yokSürpriz bir vuruş alabilirsiniz #akira #Fidye yazılımı yakında.
Yani evet, kullanıcı VPN aralığınızdaki bir WIN-* makinesinden 4624/4625 için AD kimlik doğrulama günlüklerinize bakın.
Eğer bir vuruşunuz varsa, IR Tanrıları size yardım etsin.
— Aura (@SecurityAura) 5 Ağustos 2023
Bazı araştırmacılar, saldırganların bu hesapları ele geçirmek için kaba kuvvet kullanmış olabileceğine veya karanlık web pazarı aracılığıyla üçüncü bir taraftan erişim satın almış olabileceğine inanıyor. SentinelOne’un 23 Ağustos’ta yayınlanan araştırması, bilgisayar korsanlarının esas olarak MFA’ya sahip olmayan hesapları etkileyen sıfır gün güvenlik açığını kullanmış olabileceğini vurguladı.
SentinelOne araştırmacıları ayrıca tehdit aktörlerinin, başta VPN’ler olmak üzere popüler ürünlerin kod tabanlarına fidye yazılımı yerleştirmeye giderek daha fazla ilgi gösterdiğini belirtti. En çok tercih edilen fidye yazılımı aileleri arasında Conti, LockBit ve Babuk yer alıyor.
Akira ile ilgili olarak SentinelOne araştırmacıları, kötü amaçlı yazılımın Linux versiyonunun Haziran 2023’te keşfedildiğini ancak operasyonların Nisan 2023’ten beri aktif olduğunu yazdı. Saldırganlar, savunmasız kamu hizmetlerinden ve uygulamalarından yararlanarak Akira’yı sunuyor. SentinelOne araştırmacılarına göre MFA tabanlı güvenlik açıklarını hedeflemeye daha yatkınlar.
Akira’nın saldırı kapsamı, şirketlerin yanı sıra eğitim kurumları, gayrimenkul, sağlık ve imalat sektörlerini de hedef aldığı için oldukça geniş. Akira fidye yazılımının Linux sürümleri, hedeflenen cihazlarda şifrelemeyi etkinleştirmek için Crypto++ kitaplığını temel alır. Akira’nın kısa komut seti, şifrelemeden önce VM’leri kapatma seçeneklerini içermiyor.
Ancak saldırgan -n parametresi aracılığıyla şifreleme hızını ve kurbanın veri kurtarma olasılığını kontrol edebilir. Bu, şifreleme hızı hızlıysa kurbanın şifre çözme araçlarını kullanarak verileri kurtarma ihtimalinin zayıf olduğu anlamına gelir. Hız yavaşsa kurbanın verileri kurtarma şansı yüksektir.
Akira’nın faaliyetleri ilk olarak ABD merkezli bir siber güvenlik firması Arctic Wolf tarafından Mart 2023’te tespit edildi. Araştırmalarına göre, saldırganların ana hedefleri dünya çapındaki küçük ve orta ölçekli işletmelerdi ve büyük ölçüde ABD ve Kanada’ya odaklanılmıştı. Araştırmacılar ayrıca Akira ve Conti operatörleri arasında bağlantılar da buldular.
Akira şifre çözücü, Haziran 2023’ün sonlarında Avast tarafından piyasaya sürüldü, ancak fidye yazılımı operatörleri şifreleyiciyi güncelleyerek şifre çözme işleminin yalnızca eski sürümlerde çalışabilmesini sağladı.
Cisco VPN ürünleri işletmeler arasında popülerdir. Kuruluşlar, ağlar/kullanıcılar arasında verilerin güvenli iletimi için buna güvenmektedir. Hibrit ve uzaktan çalışanlar için zorunlu kabul ediliyor. Bu, tehdit aktörlerinin neden bundan yararlanmak isteyebileceğini açıklıyor. Kuruluşlar dikkatli kalmalı ve fidye yazılımı operatörlerinin veri kaybını ve gasp girişimlerini önlemek için kusursuz dijital güvenlik sağlamalıdır.
Bu bağlamda My1Login CEO’su Mike Newman, kuruluşların korunmaya devam etmesi için Hackread.com ile bazı ipuçları paylaştı. “VPN’lerin bir kuruluşun ağının derinliklerine doğrudan bir tünel sağlaması nedeniyle bu, kötü niyetli aktörlerin eline geçmesini isteyeceğiniz türden bir erişim değildir.”
“Bu erişimi korumanın en iyi yolu iki faktörlü kimlik doğrulamayı uygulamaktır, dolayısıyla Cisco VPN’leri kullanan herhangi bir kuruluşun bunu öncelikli olarak yapması gerekir. Ancak bu aynı zamanda VPN kullanan her işletmeye uygulanması gereken bir uygulamadır” diye ekledi Mike.
“VPN’ler kurumsal ağa giden doğrudan bir yoldur ve kuruluşun ağlarını dış dünyaya açarlar. Bunu birden fazla kimlik doğrulama katmanıyla güvence altına almak, standart bir en iyi uygulamadır ve bunun gibi olaylara yakalanmaktan kaçınmanın en iyi yollarından biridir. .”
Mike, “Ayrıca, şifrelerin yeniden kullanımına karşı politikalar uygulamak da kritik önem taşıyor çünkü bu, karanlık ağda diğer uygulamalara ve hizmetlere erişim sağlayan bir grup kimlik bilgilerinin ihlal edilmesi riskini azaltıyor” dedi.
ALAKALI HABERLER
- VPN’lerin Güvenliğine İlişkin NSA ve CISA Yayın Yönergeleri
- Bilgisayar Korsanları Telegram’da i2VPN Yönetici Kimlik Bilgilerini Sızdırdı
- Popüler Swing VPN Android Uygulaması DDoS Botnet Olarak Tanımlandı
- Bilgisayar korsanları, Fortinet VPN kullanıcılarının oturum açma bilgilerini düz metin olarak saklıyor
- Çinli Bilgisayar Korsanları Kötü Amaçlı Yazılım İmzalamak İçin Çalınan Ivacy VPN Sertifikasını Kullanıyor