Cisco warnt vor Ransomware-Angriffen auf VPNs ohne Mehrfaktorauthentifizierung
Cisco warnt vor Angriffen mit der Akira-Ransomware, die auf VPNs des Herstellers zielt. Bei nicht genutzter Mehrfaktorauthentifizierung gelingen Einbrüche.
(Bild: Michael Vi/Shutterstock.com)
Das Cisco Product Security Incident Response Team (PSIRT) warnt vor Angriffen auf Cisco-VPNs, die nicht für die Nutzung von Mehrfaktorauthentifizierung (MFA) konfiguriert sind. Der Hersteller hat beobachtet, dass Cyberkriminelle dadurch in Organisationen eindringen konnten.
In einem Blog-Beitrag erläutern Ciscos IT-Sicherheitsforscher daher die Dringlichkeit, die Mehrfaktorauthentifizierung zu aktivieren, um Zugriffe aufs VPN zu schützen. Angreifer konzentrierten sich demnach häufig auf das Fehlen von oder Schwachstellen in der MFA sowie auf Sicherheitslücken in der VPN-Software.
Cisco: Einbruch durchs VPN
Die IT-Forscher erklären, dass Angreifer nach dem initialen Einbruch durch das VPN versuchen, an Zugangsdaten durch LSASS-Dumps (Local Security Authority Subsystem Service) zu gelangen und sich damit im Netzwerk fortzubewegen sowie gegebenenfalls ihre Rechte auszuweiten. Die Cybergang hinter der Akira-Ransomware nutze zudem vorhandene Tools (Living off the land-binaries, LOLBins) oder kommerzielle Standardprodukte wie PCHunter64. Zudem erstelle die Gruppe auch Mini-Dumps, um weitere Informationen im Zielnetzwerk zu ergattern.
Die Cybergang betreibe eine Webseite im Darknet, im Tor-Netzwerk. Auf der listen sie Opfer auf und veröffentlichen gestohlene Informationen, sollten die Angegriffenen den Lösegeldforderungen nicht nachkommen.
(Bild: Screenshot / dmk)
Die Einbrüche gelangen offenbar auf zwei Wegen. Einerseits haben Ciscos Forensiker Hinweise gefunden, die auf Brute-Force- und Password-Spraying-Versuche hindeuten. Automatisierte Werkzeuge probieren viele unterschiedliche Kombinationen von Nutzernamen und Passwörtern durch. Beim Password-Spraying würden viele Nutzernamen und wenige übliche Passwörter durchprobiert, wodurch sie Account-Sperrungen und die Angriffserkennung unterlaufen würden. In einigen Fällen hätten die Angreifer gültige Zugangsdaten auf Darknet-Marktplätzen kaufen können.
Um solche Angriffe zu erkennen, sei aktiviertes Logging nötig. In den untersuchten Fällen war das Logging in den Cisco ASAs nicht konfiguriert. Dadurch war es eine große Herausforderung, herauszufinden, wie die Akira-Ransomware-Angreifer Zugriff auf die VPNs erlangten.
In manchen Fällen von Ransomware-Befall durch Akira können Opfer Glück im Unglück haben. Anfang Juli haben IT-Sicherheitsforscher von Avast ein Entschlüsselungstool für Windows veröffentlicht, mit denen sich Dateien möglicherweise auch ohne Lösegeldzahlungen wiederherstellen lassen.
(dmk)
