老王蓝奏云

彼得-阿恩茨
2023 年 8 月 29 日

思科产品安全事故响应小组（PSIRT）发布了一篇博客，内容涉及Akira 勒索软件针对没有多因素验证 (MFA) 的 VPN.

思科团队表示，他们了解到有报告称，Akira 勒索软件组织专门针对未配置 MFA 的思科 VPN。 他们还观察到网络犯罪分子似乎将目标对准了未配置 MFA 的组织。MFA为他们的虛擬專用網絡用户。

团队可能知道的报告之一是几周前由安全研究员和事件响应者在推特上发布的傲罗:

"我就直说了 如果你有
思科 VPN
无 MFA
您可能很快就会受到来自 #Akira #Ransomware 的突然袭击"。

思科 VPN 解决方案广泛用于在用户和企业网络之间提供安全、加密的数据传输，远程员工经常使用。 获得访问权限后，攻击者可通过 LSASS（本地安全授权子系统服务）转储提取凭证，以方便在网络内进一步移动，并在需要时提升权限。

研究人员还无法确定的是，勒索软件操作员最初是如何获得思科 VPN 的账户登录凭证的，这也是思科 ASA（自适应安全设备）没有成功登录日志功能的原因。 如果在受影响的思科 ASA 中配置了日志记录功能，则只能在日志中发现用户名/密码组合无效的登录尝试。

犯罪分子可能是通过在互联网上购买有效证件获得的。暗网这些攻击可能是使用零日漏洞，也可能是使用暴力或凭证填充攻击。 凭据填充是一种流行的策略，即尝试使用从已被破解的数据转储中获取的用户名-密码组合访问在线账户。 在暴力攻击中，攻击者通常会尝试大量常用密码，或在多个用户名中尝试几个常用密码，这就是所谓的密码喷射。 密码喷射主要是在许多账户中尝试几个密码，通常是为了避免账户锁定和被发现。

思科表示，它已经看到了暴力和密码喷涂尝试的证据。其他研究人员他们在该组织的勒索网页上发布的泄露数据中发现了Akira使用思科VPN网关的证据，并似乎倾向于使用该漏洞。

无论使用哪种方式获取访问权，添加 MFA 都是抵御这些攻击的重要因素，这一点已变得更加明显。

老王蓝奏云

• 阻止常见的进入方式。制定计划修补漏洞在面向互联网的系统中快速禁用或加固远程访问如 RDP 和 VPN。
• 防止入侵。在威胁渗透或感染您的端点之前及早阻止它们。 使用端点安全软件可以防止用于发送勒索软件的漏洞和恶意软件。
• 检测入侵。通过分割网络和谨慎分配访问权限，让入侵者更难在企业内部活动。 使用EDR或多德以在攻击发生前检测到异常活动。
• 停止恶意加密。部署端点检测和响应软件，如Malwarebytes EDR它使用多种不同的检测技术来识别勒索软件，并通过勒索软件回滚来恢复受损的系统文件。
• 创建异地离线备份。保持异地和离线备份，使攻击者无从下手。 定期测试备份，确保能迅速恢复基本业务功能。
• 不要被攻击两次。一旦隔离了疫情并阻止了第一次攻击，就必须清除攻击者、恶意软件、工具和进入方法的所有痕迹，以避免再次受到攻击。

Malwarebytes EDR 和 MDR 可清除所有勒索软件残留，防止您再次受到感染。 想进一步了解我们如何帮助保护您的业务？ 在下方获取免费试用版。

立即试用

评论