0
0
Desde março de 2023 (e possivelmente até antes), as afiliadas dos operadores de ransomware Akira e LockBit têm violado organizações por meio de dispositivos Cisco ASA SSL VPN.
“Em alguns casos, os adversários conduziram ataques de preenchimento de credenciais que utilizaram senhas fracas ou padrão; em outros, a atividade que observamos parece ser o resultado de ataques de força bruta direcionados a dispositivos ASA onde a autenticação multifator (MFA) não foi habilitada ou não foi aplicada a todos os usuários (ou seja, por meio de grupos de desvio de MFA) ”, disseram os pesquisadores do Rapid7 na terça-feira.
MFA torna os ataques mais difíceis
Omar Santos, engenheiro principal da Equipe de Resposta a Incidentes de Segurança de Produto (PSIRT) da Cisco, confirmou na semana passada que tem visto casos em que os invasores parecem ter como alvo organizações que não configuraram MFA para seus usuários VPN.
Desde março, os respondentes de incidentes da Rapid7 investigaram onze incidentes envolvendo invasões relacionadas ao Cisco ASA e descobriram que:
- Os dispositivos comprometidos estavam em diferentes níveis de patch
- Os registros apontam para ataques automatizados (muitas tentativas de login malsucedidas ocorrendo com intervalos de milissegundos entre si)
- Nomes de usuários usados nessas tentativas – admin , kali , cisco , guest , test , security , etc. – apontam para força bruta
“Em alguns casos, os nomes de usuário nas tentativas de login pertenciam a usuários reais do domínio”, acrescentaram. Também é possível que as credenciais tenham sido comprometidas em ataques anteriores e vendidas na dark web.
Os pesquisadores analisaram um manual vendido em fóruns clandestinos por um conhecido corretor de acesso inicial no início de 2023, que afirma ter comprometido 4.865 serviços Cisco SSL VPN e 9.870 serviços Fortinet VPN com a combinação de nome de usuário/senha test: test .
“É possível que, dado o momento da discussão na dark web e o aumento da atividade de ameaças que observamos, as instruções do manual tenham contribuído para o aumento nos ataques de força bruta direcionados às VPNs Cisco ASA”, apontaram.
Conselhos para organizações
Tanto a Cisco quanto a Rapid7 aconselharam as organizações a proteger o acesso aos seus dispositivos VPN com MFA para todos os usuários e a configurar definitivamente o registro nesses dispositivos, para ter mais informações sobre o que está acontecendo neles.
“Quase 40% de todos os incidentes aos quais nossas equipes de serviços gerenciados responderam no primeiro semestre de 2023 resultaram da falta de MFA em VPN ou infraestrutura de desktop virtual”, apontaram os pesquisadores da Rapid7.
A equipe de IR do Arctic Wolf notou algo semelhante em julho de 2023, depois de responder a várias invasões do ransomware Akira (principalmente em pequenas e médias empresas): “A maioria das organizações vítimas não tinha autenticação multifatorial habilitada em suas VPNs”.
Rapid7 também instou as organizações a desabilitar contas padrão, redefinir senhas padrão, corrigir dispositivos imediatamente e monitorar logs em busca de padrões em tentativas de autenticação malsucedidas.
Manter-se atualizado com táticas, técnicas e procedimentos (TTPs) adicionais usados pelos invasores, bem como configurar defesas para bloquear e/ou detectar seu uso, é fundamental para manter os ativos organizacionais seguros.
FONTE: HELP NET SECURITY