Ngày càng có nhiều bằng chứng cho thấy ransomware Akira nhắm mục tiêu các sản phẩm Cisco VPN (mạng riêng ảo) như một phương tiện tấn công nhằm xâm nhập mạng công ty, đánh cắp và cuối cùng là mã hóa dữ liệu.
Các giải pháp VPN của Cisco được áp dụng rộng rãi trong nhiều ngành nhằm cung cấp khả năng truyền dữ liệu được mã hóa, an toàn giữa người dùng và mạng công ty, thường được sử dụng bởi các nhân viên làm việc từ xa.
Akira là ransomware tương đối mới, xuất hiện từ tháng 3 năm nay, sau đó được hacker thêm vào bộ mã hóa Linux để nhắm mục tiêu vào các máy ảo VMware ESXi.
Trong các cuộc tấn công mới đây, Akira lợi dụng tài khoản Cisco VPN bị xâm nhập để truy cập mạng công ty mà không cần cài đặt thêm các backdoor hoặc thiết lập các cơ chế ẩn náu lâu dài có thể khiến chúng bị lộ.
Sophos lần đầu ghi nhận hành vi lợi dụng tài khoản VPN của Akira vào tháng 5, khi nhóm ransomware này xâm nhập mạng bằng cách sử dụng “VPN access using Single Factor authentication”.
Hiện chưa rõ Akira đã đánh cắp thông tin đăng nhập tài khoản VPN hay mua từ các chợ dark web. Theo SentinelOne, có khả năng ransomware đã khai thác một lỗ hổng không xác định trong phần mềm VPN của Cisco để có thể bỏ qua xác thực khi không có MFA.
Ngoài ra, các nhà phân tích đã quan sát thấy Akira sử dụng công cụ truy cập từ xa nguồn mở RustDesk để điều hướng các mạng bị xâm nhập. Vì RustDesk là một công cụ hợp pháp nên sự hiện diện của nó không gây ra bất kỳ cảnh báo nào. Do đó, hacker có thể có quyền truy cập từ xa lén lút vào các máy tính bị xâm nhập.
Hồi cuối tháng 6, Avast đã phát hành bộ giải mã miễn phí ransomware Akira, tuy nhiên, hacker sau đó đã cập nhật các bộ mã hóa khiến công cụ này chỉ có thể giúp nạn nhân bị ảnh hưởng bởi ransomware phiên bản cũ.
Nguồn: Bleeping Computer