AKIRA勒索软件团伙针对CISCO ASA进行持续撞库和暴力攻击

专家警告称，针对 Cisco ASA（自适应安全设备）SSL VPN 的持续撞库和暴力攻击可能会发生。

思科了解到Akira 勒索软件威胁行为者针对未配置多重身份验证的 Cisco ASA VPN 发起了攻击。

“思科了解到有报告称 Akira 勒索软件威胁行为者一直以未配置多重身份验证的 Cisco VPN 为目标来渗透组织，并且我们观察到威胁行为者似乎以未配置多重身份验证的组织为目标的实例对于他们的 VPN 用户。” 

“这凸显了在 VPN 实施中启用多重身份验证 (MFA) 的重要性。通过实施 MFA，组织可以显着降低未经授权的访问风险，包括潜在的勒索软件感染。如果威胁行为者成功获得对用户 VPN 凭据的未经授权的访问（例如通过暴力攻击），MFA 会提供额外的保护层，以防止威胁行为者获得对 VPN 的访问权限。”

思科一直在 Rapid7 的帮助下积极调查黑客活动。Rapid7 研究人员观察到，针对 Cisco ASA SSL VPN 设备的威胁活动的增加至少可以追溯到 2023 年 3 月。

“Rapid7 发现至少 11 名客户在 2023 年 3 月 30 日至 8 月 24 日期间经历过与 Cisco ASA 相关的入侵。” 

威胁行为者正在针对 Cisco ASA（自适应安全设备）SSL VPN 进行撞库和暴力攻击。

Akira 勒索软件 自 2023 年 3 月以来一直活跃，该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织，包括教育、金融和房地产。与其他勒索软件团伙一样，该组织开发了一款针对 VMware ESXi 服务器的 Linux 加密器。

该组织现在瞄准 Cisco VPN 产品来获得对企业网络的初始访问权限。

Sophos 研究人员在 5 月份观察到威胁行为者使用受损的 Cisco VPN 帐户来破坏目标网络。

Bleeping Computer  在 Twitter 上将事件响应者共享的信息报告为“Aura”。Aura 确认，威胁行为者针对使用未启用 MFA 的 CISCO VPN 设备的组织。

BleepingComputer 还报道称，SentinelOne 正在调查 Akira 勒索软件组织利用 Cisco VPN 软件中的未知漏洞的可能性。 

Rapid7 专家将 Windows 客户端名称 WIN-R84DEUE96RB 以及 IP 地址 176.124.201[.]200 和 162.35.92[.]242 识别为攻击者基础设施的一部分。研究人员还观察到用于验证内部系统的帐户存在重叠，其中一些帐户是 TEST、CISCO、SCANUSER 和 PRINTER。

“成功验证内部资产后，威胁参与者部署了 set.bat。执行 set.bat 会安装并执行远程桌面应用程序 AnyDesk，设置密码为 greenday#@!。” 报告继续。“在某些情况下，nd.exe 在系统上执行以转储 NTDS.DIT​​ 以及 SAM 和 SYSTEM 配置单元，这可能使攻击者能够访问其他域用户凭据。威胁行为者在目标环境中的其他系统上进行了进一步的横向移动和二进制执行，以扩大危害范围。”

Rapid7 观察到的几次入侵导致了Akira或 LockBit 勒索软件感染。

Rapid7 发布了这些攻击的危害指标 (IoC)。

思科客户可以参阅适用于急救人员的思科 ASA 取证指南 ，获取有关如何从 ASA 设备收集证据的说明。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7875.html