18/12/2024

Actu Cybersécurité

Les accès VPN Cisco, l’une des cibles favorites du ransomware Akira !

Le gang de cybercriminels Akira Ransomware cible les accès VPN Cisco pour compromettre les entreprises ! Si vous utilisez un VPN Cisco, il y a des chances qu'ils viennent frapper à votre porte !

Le groupe de cybercriminels Akira Ransomware est assez récent puisqu'il a été repéré pour la première fois en mars 2023. Au fil des mois, il s'est montré particulièrement actif et il a poursuit sa progression. D'ailleurs, en juin 2023, une variante pour Linux est apparue dans le but de chiffrer les machines virtuelles des hôtes VMware ESXi.

La cible : Cisco VPN

Les solutions VPN de Cisco sont très populaires et elles sont utilisées par des milliers d'entreprises, un peu partout dans le monde. Le VPN étant un service accessible de l'extérieur, c'est une cible idéale pour les cybercriminels. D'après les derniers signalements, le gang de ransomware Akira aurait utilisé des comptes compromis pour se connecter à des VPN Cisco et aux réseaux d'entreprises. Mais ceci ne serait pas nouveau puisque les premières attaques ciblées sur les VPN Cisco remontent au mois de mai dernier.

Sophos et un consultant en sécurité nommé Aura sont d'accord sur le fait que les cybercriminels ciblent les accès VPN Cisco où il n'y a pas d'authentification multifacteurs. En complément, Aura précise : "Regardez vos journaux d'authentification AD pour 4624/4625 à partir d'une machine WIN-* dans votre plage d'utilisateur VPN." - D'après lui, c'est un signe que les cybercriminels du gang Akira essaie de pénétrer sur votre réseau via l'accès VPN.

En revanche, il y a des doutes sur la provenance des comptes VPN compromis : sont-ils achetés directement sur le dark web ? Ou, sont-ils obtenus à la suite d'une attaque brute force ? Ce point reste à éclaircir. Aura, qui est intervenu sur plusieurs incidents de ce type, explique que les logs sur un Cisco ASA ne sont pas suffisants pour déterminer s'il y a eu un brute force ou non. Toutefois, s'il y a une authentification Active Directory avec un verrouillage de comptes, cela devrait apporter une couche de protection.

Accès à distance via RustDesk

Les analystes de SentinelOne affirment que le gang de ransomware Akira utilise l'application open source RustDesk pour avoir un accès à distance sur l'infrastructure compromise. Pour ceux qui ne connaissent pas RustDesk, il s'agit d'une alternative à TeamViewer, AnyDesk, etc... que l'on peut héberger soi-même.

Au-delà de l'accès à distance sur Windows, Linux et macOS, RustDesk offre d'autres fonctions comme le partage de fichiers au sein de connexions chiffrées, ce qui intéresse les attaquants.

Par ailleurs, les cybercriminels du gang Akira n'hésitent pas à activer l'accès RDP sur les serveurs, et à désactiver le pare-feu Windows ainsi que Windows Defender.

Outil de déchiffrement Akira Ransomware

Début juillet, l'éditeur Avast a mis en ligne un outil de déchiffrement pour le ransomware Akira. Cet outil fonctionne sur les anciennes versions du ransomware Akira, mais depuis, les cybercriminels ont patchés leur module de chiffrement pour rendre inefficace l'outil d'Avast.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Les accès VPN Cisco, l’une des cibles favorites du ransomware Akira !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.