Les accès VPN Cisco, l’une des cibles favorites du ransomware Akira !
Le gang de cybercriminels Akira Ransomware cible les accès VPN Cisco pour compromettre les entreprises ! Si vous utilisez un VPN Cisco, il y a des chances qu'ils viennent frapper à votre porte !
Le groupe de cybercriminels Akira Ransomware est assez récent puisqu'il a été repéré pour la première fois en mars 2023. Au fil des mois, il s'est montré particulièrement actif et il a poursuit sa progression. D'ailleurs, en juin 2023, une variante pour Linux est apparue dans le but de chiffrer les machines virtuelles des hôtes VMware ESXi.
La cible : Cisco VPN
Les solutions VPN de Cisco sont très populaires et elles sont utilisées par des milliers d'entreprises, un peu partout dans le monde. Le VPN étant un service accessible de l'extérieur, c'est une cible idéale pour les cybercriminels. D'après les derniers signalements, le gang de ransomware Akira aurait utilisé des comptes compromis pour se connecter à des VPN Cisco et aux réseaux d'entreprises. Mais ceci ne serait pas nouveau puisque les premières attaques ciblées sur les VPN Cisco remontent au mois de mai dernier.
Sophos et un consultant en sécurité nommé Aura sont d'accord sur le fait que les cybercriminels ciblent les accès VPN Cisco où il n'y a pas d'authentification multifacteurs. En complément, Aura précise : "Regardez vos journaux d'authentification AD pour 4624/4625 à partir d'une machine WIN-* dans votre plage d'utilisateur VPN." - D'après lui, c'est un signe que les cybercriminels du gang Akira essaie de pénétrer sur votre réseau via l'accès VPN.
En revanche, il y a des doutes sur la provenance des comptes VPN compromis : sont-ils achetés directement sur le dark web ? Ou, sont-ils obtenus à la suite d'une attaque brute force ? Ce point reste à éclaircir. Aura, qui est intervenu sur plusieurs incidents de ce type, explique que les logs sur un Cisco ASA ne sont pas suffisants pour déterminer s'il y a eu un brute force ou non. Toutefois, s'il y a une authentification Active Directory avec un verrouillage de comptes, cela devrait apporter une couche de protection.
Accès à distance via RustDesk
Les analystes de SentinelOne affirment que le gang de ransomware Akira utilise l'application open source RustDesk pour avoir un accès à distance sur l'infrastructure compromise. Pour ceux qui ne connaissent pas RustDesk, il s'agit d'une alternative à TeamViewer, AnyDesk, etc... que l'on peut héberger soi-même.
Au-delà de l'accès à distance sur Windows, Linux et macOS, RustDesk offre d'autres fonctions comme le partage de fichiers au sein de connexions chiffrées, ce qui intéresse les attaquants.
Par ailleurs, les cybercriminels du gang Akira n'hésitent pas à activer l'accès RDP sur les serveurs, et à désactiver le pare-feu Windows ainsi que Windows Defender.
Outil de déchiffrement Akira Ransomware
Début juillet, l'éditeur Avast a mis en ligne un outil de déchiffrement pour le ransomware Akira. Cet outil fonctionne sur les anciennes versions du ransomware Akira, mais depuis, les cybercriminels ont patchés leur module de chiffrement pour rendre inefficace l'outil d'Avast.
bonjour. nous parlons de Cisco Anyconnect ?