Hacker มุ่งเป้าการโจมตีไปยัง Check Point VPN เพื่อเข้าถึงเครือข่าย

Check Point เปิดเผยการค้นพบกลุ่ม Hacker กำลังกำหนดเป้าหมายไปยังอุปกรณ์ VPN ของ Check Point เพื่อพยายามเข้าถึงเครือข่ายจากระยะไกล

ทั้งนี้การเข้าถึงจากระยะไกลผ่าน VPN ของ Check Point สามารถทำได้ 2 วิธีคือ client-to-site VPN สำหรับการเข้าถึงเครือข่ายองค์กรผ่าน VPN client หรือการเข้าถึงเครือข่ายองค์กรผ่าน SSL VPN Portal จาก web-based

โดย Check Point พบว่ากลุ่ม Hacker ได้มุ่งเป้าโจมตีไปยัง local account ที่มีการตั้งค่าการยืนยันตัวตนที่ไม่ปลอดภัย (password-only) เพื่อป้องกันการโจมตีดังกล่าว Check Point ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ local account ที่มีความเสี่ยงในลักษณะดังกล่าวใน Quantum Security Gateway และ CloudGuard Network Security product และบน Mobile Access และ Remote Access VPN software blade แล้วทำการเปลี่ยนวิธีการยืนยันตัวตนให้ปลอดภัยยิ่งขึ้น รวมถึงลบ local account ที่มีความเสี่ยงออกจาก Security Management Server database

นอกจากนี้ Check Point ยังได้ออก Security Gateway hotfix ที่จะบล็อก local account ทั้งหมดที่มีการยืนยันตัวตนแบบ password-only และจะไม่สามารถทำการ VPN เพื่อเข้าถึงเครือข่ายจากระยะไกลได้

Cisco VPN ก็ตกเป็นเป้าหมายการโจมตีด้วยเช่นกัน

ทั้งนี้ Check Point เป็นบริษัทที่สองต่อจาก Cisco ที่ได้ทำการแก้ไขช่องโหว่บน VPN หลังจากที่พบกลุ่ม Hacker มุ่งเป้าหมายในการโจมตีช่องโหว่ดังกล่าว

ในเดือนเมษายน 2024 Cisco ได้แจ้งเตือนพบการโจมตีแบบ brute-force โดยกำหนดเป้าหมายไปยัง VPN และ SSH service บนอุปกรณ์ Cisco, Check Point, SonicWall, Fortinet และ Ubiquiti ซึ่งแคมเปญการโจมตีดังกล่าว ได้เริ่มต้นตั้งแต่วันที่ 18 มีนาคม 2024 โดยมีการโจมตีที่มาจาก TOR exit node และใช้เครื่องมือต่าง ๆ รวมถึง proxy เพื่อหลีกเลี่ยงการตรวจจับ

Aaron Martin นักวิจัยด้านความปลอดภัย ได้เชื่อมโยงแคมเปญการโจมตีกับ botnet ที่พึงถูกค้นพบชื่อว่า "Brutus" ซึ่งควบคุม IP addresses กว่า 20,000 รายการใน cloud service และ residential network

นอกจากนี้ Cisco ยังได้เปิดเผยข้อมูลว่ากลุ่ม Hacker ที่ได้รับการสนันสนุนจากรัฐบาลในชื่อ UAT4356 (หรือที่เรียกว่า STORM-1849) ได้ใช้ช่องโหว่ Zero-day ในไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) เพื่อโจมตีเครือข่ายของรัฐบาลทั่วโลกมาตั้งแต่เดือนพฤศจิกายน 2023 ในแคมเปญการโจมตีที่ถูกติดตามในชื่อ ArcaneDoor

ที่มา : bleepingcomputer

NCSC-FI แจ้งเตือนพบกลุ่ม Akira ransomware มุ่งเป้าลบข้อมูลบนอุปกรณ์ NAS และ Tape Backup

Finish National Cybersecurity Center (NCSC-FI) หรือหน่วยงานความปลอดภัยทางไซเบอร์ของฟินแลนด์ แจ้งเตือนการพบการโจมตีที่เพิ่มขึ้นของกลุ่ม Akira ransomware ที่เพิ่มขึ้นในเดือนธันวาคม 2023 โดยกำหนดเป้าหมายการโจมตีไปยังบริษัทในประเทศเพื่อลบข้อมูลบนอุปกรณ์ NAS และ Tape Backup

ทั้งนี้ NCSC-FI ระบุว่ากลุ่ม Akira ransomware อยู่เบื้องหลังการโจมตีของ ransomware มากถึง 6 ใน 7 เหตุการณ์ที่พบในเดือนธันวาคม 2023 โดยการลบข้อมูลเป็นการเพิ่มความรุนแรงของความเสียหายของการโจมตี และทำให้ Hacker สามารถสร้างความกดดันให้แก่เป้าหมาย เนื่องจากไม่สามารถทำการกู้คืนข้อมูลที่ถูกโจมตีได้ (more…)

Akira ransomware มุ่งเป้าการโจมตีโดยใช้ Cisco VPNs เพื่อเข้าถึงระบบของเหยื่อ

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ เปิดเผยข้อมูลการพบกลุ่ม Akira ransomware มุ่งเป้าหมายการโจมตีโดยใช้ Cisco VPNs (virtual private network) product เพื่อเข้าถึงเครือข่ายขององค์กร ขโมยข้อมูล และเข้ารหัสข้อมูลในท้ายที่สุด

Akira ransomware เป็นกลุ่ม ransomware กลุ่มใหม่ ที่เปิดตัวในเดือนมีนาคม 2023 โดยก่อนหน้านี้ได้มีการเพิ่ม Linux encryptor เพื่อกำหนดเป้าหมายการโจมตีไปยัง VMware ESXi virtual machine

Cisco VPN solution ถูกนำมาใช้อย่างกว้างขวางในหลายอุตสาหกรรมเพื่อให้การรับส่งข้อมูลมีการเข้ารหัสที่ปลอดภัยระหว่างผู้ใช้งาน และเครือข่ายองค์กร ซึ่งโดยทั่วไปจะใช้โดยพนักงานที่ทำงานจากภายนอกเพื่อเข้าถึงเครือข่ายในองค์กร ซึ่งพบว่า Akira ransomware ได้ใช้บัญชี Cisco VPN ที่ถูกขโมยเพื่อเข้าถึงเครือข่ายองค์กรโดยไม่จำเป็นต้องทิ้งแบ็คดอร์เพิ่มเติม หรือแฝงตัวในระบบ

การมุ่งเป้าหมายการโจมตีไปยัง Cisco VPN
Sophos ได้พบการโจมตีของ Akira โดยใช้บัญชี VPN ที่ขโมยมาเป็นครั้งแรกในเดือนพฤษภาคม เมื่อนักวิจัยระบุว่า Akira ransomware สามารถเข้าถึงเครือข่ายโดยใช้ “Account VPN แบบ Single Factor authentication” รวมถึง นักวิจัยของ Aura ได้แชร์ข้อมูลเพิ่มเติมบน Twitter เกี่ยวกับวิธีที่ตอบสนองต่อเหตุการณ์การโจมตีของ Akira หลายครั้ง โดยพบว่าการโจมตีเกิดจากบัญชี Cisco VPN ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication ทั้งนี้ทาง Akira ยังไม่สามารถระบุได้ว่า กลุ่ม Akira ได้บัญชี Cisco VPN จากที่ใด เนื่องจากไม่พบ log ใน Cisco ASA จึงมีความเป็นไปได้ที่อาจจะได้บัญชี Cisco VPN มาจาก dark web หรือการโจมตี brute-forced VPN account

รวมถึงทาง SentinelOne ให้ข้อมูลว่ามีความเป็นไปได้ที่กลุ่ม Akira จะช่องโหว่ที่ยังไม่เป็นที่รู้จัก (Zero Day) ในซอฟต์แวร์ Cisco VPN ที่อาจสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ได้หากไม่มี MFA

นอกจากนี้ทาง SentinelOne ยังพบหลักฐานที่ Akira ใช้ Cisco VPN gateways ในการเข้าถึงระบบเหยื่อ บนหน้า leaked data ของกลุ่ม Akira ransomware มีความเกี่ยวข้องกับ Cisco VPN กว่า 8 เคส ทำให้มีความเป็นไปได้ที่ กลุ่ม Akira จะใช้ Cisco VPN เป็นหนึ่งในเครื่องมือการโจมตี

การเข้าถึงระยะไกลโดยใช้ RustDesk
นักวิเคราะห์ของ SentinelOne WatchTower พบว่ากลุ่ม Akira ransomware มีการใช้เครื่องมือการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส ในชื่อ RustDesk เพื่อเข้าถึงเครือข่ายที่ถูกโจมตี ซึ่งเป็น ransomware กลุ่มแรกที่ใช้ซอฟต์แวร์ดังกล่าวในทางที่ผิด เนื่องจาก RustDesk เป็นเครื่องมือที่ถูกต้องตามกฎหมาย การมีอยู่ของ RustDesk จึงไม่ถูกตรวจจับ ทำให้สามารถเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีจากระยะไกลอย่างลับ ๆ ได้
**

ความสามารถของ RustDesk ได้แก่:

การทำงาน Cross-platform บน Windows, macOS และ Linux ที่ครอบคลุมเป้าหมายทั้งหมดของ Akira
การเชื่อมต่อแบบ P2P จะได้รับการเข้ารหัส ดังนั้นจึงมีโอกาสน้อยที่จะถูกตรวจจับโดยเครื่องมือตรวจสอบการรับส่งข้อมูลเครือข่าย
รองรับการถ่ายโอนไฟล์ซึ่งสามารถอำนวยความสะดวกในการขโมยข้อมูล และปรับใช้ได้กับชุดเครื่องมือการโจมตีของ Akira

รวมถึงทาง SentinelOne ยังได้พบวิธีการโจมตีใหม่ ๆ ของ Akira อีกด้วย เช่น การเข้าถึง และการจัดการฐานข้อมูล SQL, การปิดใช้งานไฟร์วอลล์ และการเปิดใช้งาน RDP, การปิดใช้งานการป้องกัน LSA และการปิดใช้งาน Windows Defender โดยจะดำเนินการหลังจากที่สามารถเข้าถึงระบบเครือข่ายของเป้าหมายได้แล้ว

ในเดือนมิถุนายน 2023 ทาง Avast ได้ปล่อยตัวถอดรหัสฟรีสำหรับ Akira ransomware ซึ่งต่อมาทางกลุ่ม Akira ได้ทำการแก้ไขตัวเข้ารหัสใหม่ ทำให้เครื่องมือของ Avast สามารถถอดรหัสได้เฉพาะเหยื่อเวอร์ชันเก่าเท่านั้น

ทาง Cisco ได้ออกมาบอกว่าผลิตภัณฑ์ Cisco VPN สามารถรองรับ MFA (multi-factor authentication) จากผู้ให้บริการได้อย่างหลากหลาย รวมถึงผู้ใช้งานยังสามารถตั้งค่า/กำหนดค่าการบันทึก log บน Cisco ASA ได้ รวมถึงแนวทางที่แนะนำคือการส่งข้อมูลการบันทึกไปยัง remote syslog server เพื่อปรับปรุงการตรวจสอบเครือข่าย และเหตุการณ์ด้านความปลอดภัยในอุปกรณ์เครือข่ายต่าง ๆ

 

ที่มา : bleepingcomputer