Хакеры-вымогатели из Akira активно используют Cisco VPN для взлома корпоративных сетей
Изображение: Zozz_ (pixabay)
Хакерская группа Akira активно использует продукты Cisco VPN для взлома корпоративных сетей. Соответствующие виртуальные частные сети применяются киберпреступниками в качестве вектора атаки с целью взлома корпоративных сетей, кражи конфиденциальной информации, шифрования файлов, сообщает Bleeping Computer.
Akira — это сравнительно новая хакерская группа, чья деятельность началась в марте текущего года. После своего появления группировка внедрила шифровальщик для Linux, который был направлен на виртуальные машины VMWare ESXi.
Эксперты по информационной безопасности отмечают, что хакеры из Akira успешно проникают в корпоративные сети, используя скомпрометированные учётные записи Cisco VPN. Такое проникновение обеспечивает им доступ к ИТ-инфраструктуре организаций без необходимости установки дополнительных бэкдоров или настройки механизмов сохранения, которые могут их выдать.
Первые данные о том, что хакеры группировки Akira злоупотребляют учётными записями Cisco VPN, были предоставлены компанией по кибербезопасности Sophos. Специалисты фирмы поделились информацией о том, что киберпреступники «взломали сеть, используя VPN-доступ с однофакторной аутентификацией».
Специалист по кибербезопасности, известный под псевдонимом Aura, поделился в Twitter дополнительными сведениями о многочисленных инцидентах, связанных с действиями Akira. Он утверждает, что многие из этих инцидентов связаны с использованием учётных записей Cisco VPN без многофакторной аутентификации. Однако до сих пор неясно, каким образом Akira получает доступ к учётным данным: взламывают ли они их самостоятельно или приобретают на теневом рынке.
Компания по кибербезопасности SentinelOne предполагает, что хакеры Akira эксплуатировали некую неизвестную уязвимость в программном обеспечении Cisco VPN. Это позволило им обходить процедуру аутентификации при отсутствии многофакторной проверки. В доказательство своих слов специалисты приводят информацию, обнаруженную на официальных ресурсах хакеров, где содержатся данные, связанные с использованием VPN-шлюзов Cisco.
Также стоит отметить, что хакеры Akira используют инструмент удалённого доступа с открытым исходным кодом RustDesk для своих операций, что делает их одними из первых киберпреступных групп, использующих это легальное программное решение в своей деятельности.
Источник: cisoclub.ru