Secondo quanto riportato dal consulente per la sicurezza Aura, vi sono prove concrete secondo cui il ransomware Akira sta prendendo di mira alcuni prodotti Cisco VPN per facilitare la distribuzione dell’agente malevolo.
Akira è un’operazione attiva da marzo 2023 ma che, fin dal suo lancio, ha dimostrato di adattarsi ed evolversi a un ritmo impressionante.
Le VPN Cisco sono ampiamente adottate in molti settori professionali con il fine di fornire una trasmissione dati sicura e crittografata tra utenti e reti aziendali. Con il fiorire del lavoro da remoto, di fatto, questo tipo di soluzione sta vivendo una considerevole popolarità.
Stando a quanto riferito da Aura, Akira ha utilizzato account VPN Cisco compromessi per violare le reti aziendali senza la necessità di aprire backdoor aggiuntive o sfruttare altri sistemi simili.
Sophos ha notato per la prima volta l’abuso degli account VPN da parte di Akira a maggio, quando i ricercatori hanno affermato che il gruppo di ransomware ha violato una rete utilizzando “Un accesso VPN tramite l’autenticazione a fattore singolo“.
Il ransomware Akira sfrutta un software open source per interagire con i suoi obiettivi
Durante un’intervista con BleepingComputer, Aura ha affermato che non era chiaro se Akira avesse effettuato attacchi di forza bruta per ottenere le credenziali dell’account VPN o se avesse acquistato le stesse sul Dark Web.
Secondo altri esperti, come SentinelOne, potrebbe anche esistere una vulnerabilità (al momento ancora sconosciuta) presente nel software di Cisco VPN. Questa potrebbe consentire il bypass dell’autenticazione in caso dell’assenza di MFA.
Sempre stando alle ricerche di SentinelOne, è stato possibile osservare come Akira stia utilizzando uno strumento di accesso remoto, ovvero RustDesk, per interagire con le reti compromesse.
RustDesk è un software open source legittimo che, per sua stessa natura, si rivela ideale nel contesto di attacchi ransomware. Tra i vantaggi operativi che offre figurano:
- Possibilità di agire su più piattaforme come Windows, macOS e Linux;
- Connessioni P2P crittografate, più difficilmente segnalate dagli strumenti di monitoraggio;
- Supporto il trasferimento di file, funzione che può facilitare l’esfiltrazione dei dati;
Altri comportamenti osservati da SentinelOne negli ultimi attacchi di Akira includono l’accesso e la manipolazione del database SQL, la disattivazione dei firewall e l’attivazione di RDP, la disattivazione della protezione LSA e di Windows Defender.
Alla fine di giugno 2023, Avast ha rilasciato un decryptor gratuito per il ransomware Akira. Tuttavia, da allora gli autori delle minacce hanno aggiornato i loro attacchi e, questo strumento, risulta utile solo con le versioni precedenti.