Хакери са внедрили рансъмуер в системите на американски болници и държавни институции, използвайки откраднати идентификационни данни за активни директории месеци след като са използвали известна уязвимост за дистанционно изпълнение на код (RCE) в своите Pulse Secure VPN сървъри. Въпреки че уязвимостта, проследявана като CVE-2019-11510, беше закърпена от Pulse Secure преди една година, Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) предупреди организациите през януари 2020 г. да поправят своите Pulse Secure VPN сървъри срещу продължаващи атаки, след пореден сигнал през октомври 2019г.

ФБР също заяви във флаш сигнал за сигурност от януари т.г., че правителствено финансирани хакери са нарушили мрежите на американско общинско правителство и американско финансово образувание, след като са използвали уязвимости в Pulse Secure за  VPN. Въпреки всички тези предупреждения, CISA трябваше да издаде още един сигнал в края на май, призовавайки организациите незабавно да поправят CVE-2019-11510, за да блокират нападателите да получат достъп до техните мрежи и да откраднат идентификационни данни на администратор на домейн.

Откупи, болници и държавни субекти

„CISA наблюдава – след като идентификационните данни са компрометирани – авторите на киберзаплахите, осъществяващи достъп до мрежи на жертви чрез устройствата Pulse Secure VPN те използваха прокситата за свързване – като Tor инфраструктурата и виртуалните частни сървъри (VPS) – за да минимизират шанса за откриване, когато се свързват с пробитиVPN устройства.“ Един от хакерите, който CISA наблюдава, използвайки откраднати идентификационни данни след експлоатация на устройствата Pulse Secure VPN, успя да зарази и шифрова системите на няколко болници и правителствени структури на САЩ, използвайки полезен товар от рансъмуер. Същият  е забелязан от агенцията за киберсигурност, докато „се опитва да продаде откраднатите идентификационни данни след 30 неуспешни опита да се свърже с клиентската среда, за да ескалира привилегиите и да пусне рансъмуера“. Хакери също бяха наблюдавани, докато използват инструменти за отдалечено администриране като TeamViewer и LogMeIn като импровизирани задни врати, предназначени да помогнат да се постигне постоянство в мрежите на жертвите им дори след изгонването им.

Поправянето е само първата стъпка за смекчаване

Ако не бъде поправена, CVE-2019-11510 може да позволи на неупълномощени хакери да компрометират уязвими VPN сървъри и да „получат достъп до всички активни потребители и техните пълномощни идентификационни данни“ и да изпълняват произволни команди, ако те също не променят паролите. Въпреки това, дори след закърпване на уязвимите сървъри на Pulse Secure VPN, „CISA е наблюдавала инциденти, при които компрометирани идентификационни данни на Active Directory са били използвани месеци след като организацията жертва е закърпила техния VPN уред.“ „Атаките, използващи уязвимостите в Pulse Connect Secure, все още продължават и дори се комбинират с рансъмуер, което може да повлияе на непрекъснатостта на бизнеса на организациите“, потвърди JPCERT по-рано този месец. CISA пусна помощна програма с отворен код, наречена check-your-pulse и предназначена да помогне на компаниите да анализират своите регистрационни файлове на Pulse Secure VPN, за да намерят индикатори за компрометиране и да решат дали е необходимо пълно нулиране на паролата за акаунт в Active Directory. Докато на 25 август 2019 г. фирмата за разузнаване на киберзаплахи Bad Packets откри 14 528 неконструирани сървъра Pulse Secure, миналия месец намери 2099 уязвими сървъра Pulse Secure VPN, достъпни през Интернет, след провеждане на 25-ия кръг на сканиране за уязвимост. Bad Packets също така забелязаха проверка на активността на масово сканиране за устройствата Pulse Secure VPN   на 4 април и на 17 април. „CISA настоятелно призовава организации, които все още не са го направили, да надградят своята Pulse Secure VPN до съответните корекции за CVE-2019-11510“, заключава агенцията. „Ако – след прилагане на мерките за откриване в този сигнал – организации открият доказателства за експлоатация на CVE-2019-11510, CISA препоръчва промяна на паролите за всички акаунти на Active Directory, включително акаунти на администратори и услуги.“

 

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email

Подобни публикации

15 януари 2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕНТА НА ПОЛСКАТА АРМИ...

Над 1,7 милиона класифицирани документа, свързани с всички аспекти ...
14 януари 2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИТЕ ИЗЧИСЛЕНИЯ

Като част от плановете си след Brexit, премиерът Борис Джонсън обяв...
8 януари 2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАКВАНЕ ПРЕЗ НОВАТА ГОДИНА

Целите, които си поставяте за  за Новата година са високи! Една от ...
7 януари 2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪР, ЗА ДА КРАДАТ КРЕД...

Хакери използваха облачна видео хостинг услуга, за да извършат атак...
24 декември 2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време на радост и доброта, но за съжаление ...
23 декември 2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ СРЕЩУ COVID СА ПОДЛОЖ...

Вече повече от година, производителите на продукти за киберсигурнос...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email
Още по темата
07/01/2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪ...

Хакери използваха облачна видео хостинг услуга,...
23/12/2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ С...

Вече повече от година, производителите на...
17/12/2021

EVIL TWIN ATTACK - КАКВО ПР...

Evil Twin Attack  е кибератака за...
Последно добавени
15/01/2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕ...

Над 1,7 милиона класифицирани документа, свързани...
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
Ключови думи