Akira ransomware มุ่งเป้าการโจมตีโดยใช้ Cisco VPNs เพื่อเข้าถึงระบบของเหยื่อ

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ เปิดเผยข้อมูลการพบกลุ่ม Akira ransomware มุ่งเป้าหมายการโจมตีโดยใช้ Cisco VPNs (virtual private network) product เพื่อเข้าถึงเครือข่ายขององค์กร ขโมยข้อมูล และเข้ารหัสข้อมูลในท้ายที่สุด

Akira ransomware เป็นกลุ่ม ransomware กลุ่มใหม่ ที่เปิดตัวในเดือนมีนาคม 2023 โดยก่อนหน้านี้ได้มีการเพิ่ม Linux encryptor เพื่อกำหนดเป้าหมายการโจมตีไปยัง VMware ESXi virtual machine

Cisco VPN solution ถูกนำมาใช้อย่างกว้างขวางในหลายอุตสาหกรรมเพื่อให้การรับส่งข้อมูลมีการเข้ารหัสที่ปลอดภัยระหว่างผู้ใช้งาน และเครือข่ายองค์กร ซึ่งโดยทั่วไปจะใช้โดยพนักงานที่ทำงานจากภายนอกเพื่อเข้าถึงเครือข่ายในองค์กร ซึ่งพบว่า Akira ransomware ได้ใช้บัญชี Cisco VPN ที่ถูกขโมยเพื่อเข้าถึงเครือข่ายองค์กรโดยไม่จำเป็นต้องทิ้งแบ็คดอร์เพิ่มเติม หรือแฝงตัวในระบบ

การมุ่งเป้าหมายการโจมตีไปยัง Cisco VPN
Sophos ได้พบการโจมตีของ Akira โดยใช้บัญชี VPN ที่ขโมยมาเป็นครั้งแรกในเดือนพฤษภาคม เมื่อนักวิจัยระบุว่า Akira ransomware สามารถเข้าถึงเครือข่ายโดยใช้ “Account VPN แบบ Single Factor authentication” รวมถึง นักวิจัยของ Aura ได้แชร์ข้อมูลเพิ่มเติมบน Twitter เกี่ยวกับวิธีที่ตอบสนองต่อเหตุการณ์การโจมตีของ Akira หลายครั้ง โดยพบว่าการโจมตีเกิดจากบัญชี Cisco VPN ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication ทั้งนี้ทาง Akira ยังไม่สามารถระบุได้ว่า กลุ่ม Akira ได้บัญชี Cisco VPN จากที่ใด เนื่องจากไม่พบ log ใน Cisco ASA จึงมีความเป็นไปได้ที่อาจจะได้บัญชี Cisco VPN มาจาก dark web หรือการโจมตี brute-forced VPN account

รวมถึงทาง SentinelOne ให้ข้อมูลว่ามีความเป็นไปได้ที่กลุ่ม Akira จะช่องโหว่ที่ยังไม่เป็นที่รู้จัก (Zero Day) ในซอฟต์แวร์ Cisco VPN ที่อาจสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ได้หากไม่มี MFA

นอกจากนี้ทาง SentinelOne ยังพบหลักฐานที่ Akira ใช้ Cisco VPN gateways ในการเข้าถึงระบบเหยื่อ บนหน้า leaked data ของกลุ่ม Akira ransomware มีความเกี่ยวข้องกับ Cisco VPN กว่า 8 เคส ทำให้มีความเป็นไปได้ที่ กลุ่ม Akira จะใช้ Cisco VPN เป็นหนึ่งในเครื่องมือการโจมตี

การเข้าถึงระยะไกลโดยใช้ RustDesk
นักวิเคราะห์ของ SentinelOne WatchTower พบว่ากลุ่ม Akira ransomware มีการใช้เครื่องมือการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส ในชื่อ RustDesk เพื่อเข้าถึงเครือข่ายที่ถูกโจมตี ซึ่งเป็น ransomware กลุ่มแรกที่ใช้ซอฟต์แวร์ดังกล่าวในทางที่ผิด เนื่องจาก RustDesk เป็นเครื่องมือที่ถูกต้องตามกฎหมาย การมีอยู่ของ RustDesk จึงไม่ถูกตรวจจับ ทำให้สามารถเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีจากระยะไกลอย่างลับ ๆ ได้
**

ความสามารถของ RustDesk ได้แก่:

การทำงาน Cross-platform บน Windows, macOS และ Linux ที่ครอบคลุมเป้าหมายทั้งหมดของ Akira
การเชื่อมต่อแบบ P2P จะได้รับการเข้ารหัส ดังนั้นจึงมีโอกาสน้อยที่จะถูกตรวจจับโดยเครื่องมือตรวจสอบการรับส่งข้อมูลเครือข่าย
รองรับการถ่ายโอนไฟล์ซึ่งสามารถอำนวยความสะดวกในการขโมยข้อมูล และปรับใช้ได้กับชุดเครื่องมือการโจมตีของ Akira

รวมถึงทาง SentinelOne ยังได้พบวิธีการโจมตีใหม่ ๆ ของ Akira อีกด้วย เช่น การเข้าถึง และการจัดการฐานข้อมูล SQL, การปิดใช้งานไฟร์วอลล์ และการเปิดใช้งาน RDP, การปิดใช้งานการป้องกัน LSA และการปิดใช้งาน Windows Defender โดยจะดำเนินการหลังจากที่สามารถเข้าถึงระบบเครือข่ายของเป้าหมายได้แล้ว

ในเดือนมิถุนายน 2023 ทาง Avast ได้ปล่อยตัวถอดรหัสฟรีสำหรับ Akira ransomware ซึ่งต่อมาทางกลุ่ม Akira ได้ทำการแก้ไขตัวเข้ารหัสใหม่ ทำให้เครื่องมือของ Avast สามารถถอดรหัสได้เฉพาะเหยื่อเวอร์ชันเก่าเท่านั้น

ทาง Cisco ได้ออกมาบอกว่าผลิตภัณฑ์ Cisco VPN สามารถรองรับ MFA (multi-factor authentication) จากผู้ให้บริการได้อย่างหลากหลาย รวมถึงผู้ใช้งานยังสามารถตั้งค่า/กำหนดค่าการบันทึก log บน Cisco ASA ได้ รวมถึงแนวทางที่แนะนำคือการส่งข้อมูลการบันทึกไปยัง remote syslog server เพื่อปรับปรุงการตรวจสอบเครือข่าย และเหตุการณ์ด้านความปลอดภัยในอุปกรณ์เครือข่ายต่าง ๆ

 

ที่มา : bleepingcomputer