Il existe de plus en plus de preuves selon lesquelles le ransomware Akira cible les produits Cisco VPN (réseau privé virtuel) comme vecteur d’attaque pour violer les réseaux d’entreprise, voler et éventuellement chiffrer des données.
Le ransomware Akira est une opération de ransomware relativement nouvelle lancée en mars 2023, le groupe ayant ensuite ajouté un chiffreur Linux pour cibler les machines virtuelles VMware ESXi.
Les solutions VPN Cisco sont largement adoptées dans de nombreux secteurs pour assurer une transmission de données sécurisée et cryptée entre les utilisateurs et les réseaux d’entreprise, généralement utilisées par les employés travaillant à distance.
Akira aurait utilisé des comptes VPN Cisco compromis pour pirater les réseaux d’entreprise sans avoir besoin de supprimer des portes dérobées supplémentaires ou de mettre en place des mécanismes de persistance qui pourraient les trahir.
Akira cible les VPN Cisco
Sophos a remarqué pour la première fois l’abus des comptes VPN par Akira en mai, lorsque les chercheurs ont déclaré que le groupe de ransomwares avait violé un réseau en utilisant « un accès VPN utilisant l’authentification à facteur unique ».
Cependant, un intervenant en cas d’incident, connu sous le nom d’« Aura », a partagé des informations supplémentaires sur Twitter sur la façon dont il a répondu à plusieurs incidents Akira menés à l’aide de comptes VPN Cisco qui n’étaient pas protégés par une authentification multifacteur.
Dans une conversation avec Breachtrace, Aura a déclaré qu’en raison du manque de connexion dans Cisco ASA, il restait difficile de savoir si Akira avait forcé brutalement les informations d’identification du compte VPN ou s’il les avait achetées sur les marchés du dark web.
Un rapport SentinelOne partagé en privé avec Breachtrace et se concentrant sur la même méthode d’attaque présente la possibilité qu’Akira exploite une vulnérabilité inconnue dans le logiciel VPN Cisco qui pourrait contourner l’authentification en l’absence de MFA.
SentinelOne a trouvé des preuves qu’Akira utilisait les passerelles VPN Cisco dans des données divulguées publiées sur la page d’extorsion du groupe et a observé des caractéristiques liées au VPN Cisco dans au moins huit cas, indiquant que cela fait partie d’une stratégie d’attaque en cours par le groupe de ransomwares.
Accès à distance à RustDesk
De plus, les analystes de SentinelOne ont observé Akira utiliser l’outil d’accès à distance open source RustDesk pour naviguer sur des réseaux compromis, ce qui en fait le premier groupe de ransomware connu pour abuser du logiciel.
RustDesk étant un outil légitime, il est peu probable que sa présence déclenche une alarme. Il peut donc offrir un accès à distance furtif aux ordinateurs infectés.
Les autres avantages découlant de l’utilisation de RustDesk incluent :
- Fonctionnement multiplateforme sur Windows, macOS et Linux, couvrant toute la gamme de ciblage d’Akira.
- Les connexions P2P sont cryptées et donc moins susceptibles d’être signalées par les outils de surveillance du trafic réseau.
- Prend en charge le transfert de fichiers qui peut faciliter l’exfiltration de données, rationalisant ainsi la boîte à outils d’Akira.
D’autres TTP observés par SentinelOne dans les dernières attaques d’Akira incluent l’accès et la manipulation de la base de données SQL, la désactivation des pare-feu et l’activation de RDP, la désactivation de la protection LSA et la désactivation de Windows Defender.
Ces changements pas si subtils sont effectués une fois que les attaquants ont établi leur présence dans l’environnement et sont prêts à passer aux phases finales de leur attaque.
Fin juin 2023, Avast a publié un décrypteur gratuit pour le ransomware Akira. Cependant, les auteurs de la menace ont depuis lors corrigé leurs chiffreurs, et l’outil d’Avast n’aidera que les victimes des anciennes versions.