Fokozódó kiberfenyegetések: Akira ransomware, Python szkriptek és Microsoft 365 fiókok veszélyben

A Barracuda biztonsági kutatói

Az Akira ransomware támadások – VPN-ek a fő célpontok

Az Akira ransomware csoport aktívan kihasználja a SonicWall VPN eszközökben korábban már javított sebezhetőséget (CVE-2024-40766). A támadások növekedésének egyik fő oka, hogy sok szervezet nem alkalmazza időben a biztonsági frissítéseket, vagy nem változtatja meg a jelszavakat a javítás után. Emellett a támadók korábban megszerzett hitelesítő adatokat használnak fel az egyszer használatos jelszavak (OTP-k) elfogására, így képesek megkerülni a többfaktoros hitelesítést (MFA), még akkor is, ha az érintett rendszereket már frissítették.

A fenyegetés intelligencia jelentés szerint az Akira csoport gyorsan jut el a fertőzés kezdeti szakaszától az adatok titkosításáig. Ehhez legitim eszközöket használ, például távoli felügyeleti és menedzsment (RMM) szoftvereket, amelyek segítségével elrejtheti tevékenységét a biztonsági rendszerek elől. A támadók emellett leállítják a biztonsági eszközöket és a mentési rendszereket is, hogy megakadályozzák az adatok helyreállítását.

„A támadások egy éves, már javított sebezhetőséget használnak ki (CVE-2024-40766). Sikerük oka, hogy nem minden felhasználó telepítette a javítást, illetve mert a támadók korábban megszerzett hitelesítő adatokkal elfogják az egyszer használatos jelszavakat (OTP-ket), amelyek érvényes bejelentkezési tokeneket generálnak, így megkerülik a többfaktoros hitelesítést még frissített rendszereken is.” – áll a jelentésben.

Kik vannak leginkább veszélyben?

• Azok a szervezetek, amelyek nem telepítették még a javítást.
• Akik nem változtatták meg jelszavaikat a frissítés után.
• Használaton kívüli vagy régi fiókok megléte.
• Magas jogosultságú szolgáltatói fiókok ritkán cserélt hitelesítő adatokkal.

Ajánlott védekezési lépések

1. Futtasson szkennelő eszközt az esetlegesen nem frissített VPN-ek felderítésére.
2. Telepítse haladéktalanul az összes biztonsági frissítést.
3. Minden VPN hitelesítő adatot állítson vissza.
4. Frissítse az eszközök firmware-jét a legújabb verzióra.
5. Törölje vagy deaktiválja az inaktív vagy régi fiókokat.
6. Korlátozza a VPN-hozzáférést IP-címek alapján.
7. Figyelje folyamatosan az esetleges szokatlan bejelentkezési tevékenységeket.

Barracuda figyelmeztetése: „Ha bármilyen gyanúja van arra, hogy hitelesítő adatai vagy OTP-k kiszivároghattak, azonnal cselekedjen! Változtassa meg minden jelszavát, válasszon phishing elleni védelmet nyújtó MFA megoldásokat, például FIDO2 biztonsági kulcsokat, és ellenőrizze VPN naplóit szokatlan bejelentkezési minták vagy ismeretlen helyekről érkező hozzáférések után.”

A rosszindulatú Python szkriptek terjedése

A biztonsági csapatok egyre gyakrabban figyelnek meg Python nyelven írt szkriptek használatát különféle hackelő eszközök futtatására. Ezek között megtalálható a széles körben ismert jelszólopó Mimikatz, PowerShell parancsok és többféle automatizált credential stuffing (hitelesítő adatok tömeges kipróbálása) szkript is. A Python alkalmazása lehetővé teszi a támadók számára, hogy rosszindulatú tevékenységeiket legitim folyamatokként álcázzák és automatizálják támadásaikat, így gyorsabbak lesznek és kisebb eséllyel bukkannak fel a védekező rendszerek radarján.

„A Barracuda SOC elemzői egyre több olyan hackelő eszközt látnak Python szkriptek által indítva és futtatva. Ezek között szerepelnek népszerű jelszólopók, mint például Mimikatz, valamint PowerShell parancsok és credential stuffing automatizációs scriptek. A Python használata lehetőséget ad arra is, hogy ezek az eszközök legitim programokként jelenjenek meg.”

Védekezési ajánlások

• Telepítsenek végpontvédelmi szoftvereket minden eszközre.
• Tartsák naprakészen az összes alkalmazást és operációs rendszert.
• Követeljék meg erős jelszóhasználatot és többfaktoros hitelesítést minden hozzáférésnél.
• Tartsanak rendszeres biztonsági tudatosság-növelő képzéseket munkatársaik számára.
• Alkalmazzanak automatizált biztonsági rendszereket az anomáliák felismerésére.

Szokatlan bejelentkezési aktivitás Microsoft 365 fiókoknál

A Barracuda jelentése szerint jelentősen megnőtt az Ausztráliában közel 150 000 szervezet által használt Microsoft 365 fiókoknál tapasztalt szokatlan bejelentkezési események száma. Ezek olyan bejelentkezések, amelyek eltérnek egy adott felhasználó megszokott viselkedésétől – például ismeretlen helyről vagy eszközről érkeznek, illetve rendkívüli időpontban történnek. Ez arra utalhat, hogy támadók kompromittálták a felhasználói hitelesítő adatokat és próbálnak hozzáférni ezekhez a fiókokhoz.

„A Barracuda növekvő számú szokatlan bejelentkezési eseményt lát Microsoft 365 fiókok esetében. Ezek olyan bejelentkezések, amelyek nem egyeznek meg egy adott felhasználó normál viselkedésével – például váratlan helyről vagy eszközről érkeznek vagy olyan időpontban történnek, amikor a felhasználó általában nincs online.”

A veszélyek

• Kompromittált fiókok eladása más rosszindulatú szereplőknek.
• További hálózati hozzáférések megszerzése ezen keresztül.
• Szenzitív adatok ellopása vagy belső fenyegetések generálása.
• További támadások kivitelezése kompromittált fiókokból.

Megelőző intézkedések

1. Minden Microsoft 365 fiókon engedélyezze a többfaktoros hitelesítést (MFA).
2. Korlátozza a felhasználói jogosultságokat szükséges minimumra.
3. Használjon felhő alapú biztonsági szolgáltatásokat további védelmi rétegként.
4. Tartson rendszeres munkavállalói képzéseket kiberbiztonsági témákban.
5. Zárja ki hozzáférést kockázatos helyekről vagy ismeretlen eszközökről.
6. Folyamatosan monitorozza az anomáliákat okozó bejelentkezési eseményeket.

Záró gondolatok – folyamatos védelem szükségessége

A Barracuda legfrissebb fenyegetettségi összegzése rávilágít arra, hogy mennyire fontos az állandó szoftverfrissítés, hatékony hitelesítő adat-kezelés és korszerű biztonsági eszközök alkalmazása. Emellett kiemeli a munkavállalók tudatosságának növelését mint kulcsfontosságú tényezőt annak érdekében, hogy sikeresen védekezhessünk az egyre kifinomultabb kiberfenyegetések ellen – különösen azokkal szemben, amelyek távoli hozzáférési rendszereket és népszerű üzleti alkalmazásokat céloznak meg.

Forrás: https://securitybrief.com.au/story/ransomware-surge-exploits-vpn-flaws-microsoft-365-logins-in-apac