Специалисты утверждают , что злоумышленники стали чаще использовать вымогательское ПО Akira для проникновения в корпоративные сети компаний через CiscoVPN. Впервые Akira было запущено в марте 2023 года. Сейчас программу дополнили Linux-шифровальщиком для атак на виртуальные машины VMware ESXi.
“Вымогатель” эксплуатирует уже скомпрометированные аккаунты Cisco VPN. Следовательно, хакерам не нужно устанавливать дополнительные бэкдоры и механизмы постоянного доступа. Как указала компания Sophos в своем отчете после одной из атак в мае, хакеры получили доступ к корпоративной сети, используя однофакторную аутентификацию.
Исследователь кибербезопасности, известный как “Aura”, объяснил, что в устройствах Cisco ASA (Adaptive Security Appliance, решение для обеспечения сетевой безопасности) нет системы логирования. Из-за этого невозможно определить, были аккаунты взломаны методом подбора паролей или же куплены на темных рынках.
Аналитики SentinelOne WatchTower предположили, что Akira эксплуатирует неизвестные уязвимости в программном обеспечении Cisco VPN для обхода систем аутентификации. По словам компании, вымогательская программа также применяет алгоритм RustDesk для навигации по скомпрометированным сетям. RustDesk – это легальный инструмент для удаленного доступа, работающий на платформах Windows, macOS и Linux. Он известен зашифрованными P2P-соединениями и возможностью передачи файлов.
В арсенале Akira обнаружили и другие тактики: манипуляции с базами данных SQL, отключение брандмауэров, активация удаленного рабочего стола (RDP), а также отключение защитных механизмов Windows Defender и LSA Protection.
В связи с растущим числом атак представитель Cisco подтвердил, что их VPN-продукты будут поддерживать многофакторную аутентификацию от разных поставщиков. Это обеспечит дополнительный уровень защиты, который усложнит задачу взломщикам.
Компания Avast, специализирующаяся на разработке антивирусов, в июне 2023 года представила бесплатный инструмент для дешифровки данных, зашифрованных Akira. Однако этот дешифратор эффективен только против старых “штаммов”. При этом разработчики Akira уже внесли изменения в свои алгоритмы.