Asurgents cybersäkerhetsblogg: Ransomware-grupper siktar in sig på VPN:er utan MFA

Denna typ av tjänst möjliggör för organisationer att utföra bl.a.

• Säker fjärråtkomst
• Applikationsåtkomst
• Autentisering och auktorisering
• Säkerhetskontroll av endpoints

Under augusti 2023 så rapporterade Rapid7 och Cisco om en ökad hotaktivitet som riktas mot Cisco ASA SSL VPN-applikationer, både fysiska och virtuella. Detta har man kunnat spåra tillbaka till åtminstone Mars 2023, enligt Rapid7. I vissa fall har hotaktörer genomfört en så kallad “credential stuffing” som går ut på att utnyttja tidigare läckta inloggningsuppgifter från Darkweb, och i andra fall har det varit riktade brute force-attacker mot ASA-applikationerna där MFA (multifaktorautentisering) saknats helt eller för vissa användare. Detta har resulterat i ett flertal incidenter som ransomwaregrupperna “Akira” och “LockBit” har varit bakom.

Vad för mönster hotaktörerna har riktat in sina attacker mot har varit blandat. Attacker har hittills drabbat olika organisationer i olika branscher, bl.a. hälso- och sjukvård, tillverkning och olja/gas. Enligt Rapid7 så har man endast sett lyckade attacker mot branscher och organisationer där just MFA-konfigureringen inte har varit säker, eller saknats helt.

I de flesta incidenterna som undersöktes så såg man hotaktörer som försökte logga in på ASA-applikationer med användarnamn såsom;

-       admin

-       guest

-       printer

-       root

-       test

-       security

-       developer

-       demo

Ovanstående exempel är användarnamn som används av många, men som också finns i varje namnlista för brute force-verktyg där ute. Precis som i detta fall då vissa av dessa användarnamn faktiskt användes.

Vad har varit gemensamt för dessa attacker?

Efter analyserna som gjordes av Rapid7 så identifierades flera områden där de observerade IOCs (Indicator of Compromise). Windows-klientnamnet “WIN-R84DEUE96RB” var ofta associerat med hotaktörers infrastruktur, tillsammans med IP-adresserna 176.124.201[.]200 samt 162.35.92[.]242. Man såg också överlappningar i de konton som användes för autentisering i de interna systemen, inklusive användningen av konton som “TEST, “CISCO”, “SCANUSER” och “PRINTER”.

Även metoderna för att skaffa access, det vill säga brute force-attacker eller utnyttjande av läckta inloggningsuppgifter har varit gemensamt för dessa incidenter.

Hur kan man skydda sig?

För att minimera risken för att bli utsatt för denna, eller liknande attack bör organisationer se till att;

• Standardlösenord inte används inom organisationen
• Tvingad MFA för alla VPN-användare
• Övervaka VPN-loggar för autentiseringsförsök som sker utanför förväntade platser/tider
• Övervaka VPN-loggar för misslyckade autentiseringar och leta efter brute force-försök
• Keep up to date – dvs att uppdatera programvara när ny version finns tillgänglig

Läs mer: 

Akira Ransomware Targeting VPNs without Multi-Factor Authentication - Cisco Blogs

Under Siege: Rapid7-Observed Exploitation of Cisco ASA SSL VPNs | Rapid7 Blog

Bevaka dark web

Asurgent Cyber Threat Intelligence

Cybersäkerhet idag sträcker sig bortom företagets murar och handlar inte längre enbart om att övervaka den interna miljön efter intrång.

Cyber Threat Intelligence är en säkerhetstjänst som är designad för att övervaka era tillgångar, ert data och ert bolagsnamn på Clear, Deep och Dark web. Syftet med tjänsten är att kunna identifiera nuvarande- och kommande risker innan de realiseras mot er organisation.

Detta är möjligt genom att granska omvärlden, kommande angrepp och attacker samt snabbt kunna identifiera och agera på hackade och kapade konton som möjliggör accesser till er organisation.

Tjänsten möjliggör även granskning av benämningar av ert bolagsnamn för att kunna identifiera om er data skulle vara läckt och eventuellt vara till salu.

Läs mer om CTI