Търсене
Close this search box.

САЩ: ХАКЕРИ ИЗПОЛЗВАТ ПЪЛНОМОЩИЯ ЗА АКТИВНИ ДИРЕКТОРИИ ЗА ДА АТАКУВАТ БОЛНИЦИ

Хакери са внедрили рансъмуер в системите на американски болници и държавни институции, използвайки откраднати идентификационни данни за активни директории месеци след като са използвали известна уязвимост за дистанционно изпълнение на код (RCE) в своите Pulse Secure VPN сървъри. Въпреки че уязвимостта, проследявана като CVE-2019-11510, беше закърпена от Pulse Secure преди една година, Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) предупреди организациите през януари 2020 г. да поправят своите Pulse Secure VPN сървъри срещу продължаващи атаки, след пореден сигнал през октомври 2019г.

ФБР също заяви във флаш сигнал за сигурност от януари т.г., че правителствено финансирани хакери са нарушили мрежите на американско общинско правителство и американско финансово образувание, след като са използвали уязвимости в Pulse Secure за  VPN. Въпреки всички тези предупреждения, CISA трябваше да издаде още един сигнал в края на май, призовавайки организациите незабавно да поправят CVE-2019-11510, за да блокират нападателите да получат достъп до техните мрежи и да откраднат идентификационни данни на администратор на домейн.

Откупи, болници и държавни субекти

„CISA наблюдава – след като идентификационните данни са компрометирани – авторите на киберзаплахите, осъществяващи достъп до мрежи на жертви чрез устройствата Pulse Secure VPN те използваха прокситата за свързване – като Tor инфраструктурата и виртуалните частни сървъри (VPS) – за да минимизират шанса за откриване, когато се свързват с пробитиVPN устройства.“ Един от хакерите, който CISA наблюдава, използвайки откраднати идентификационни данни след експлоатация на устройствата Pulse Secure VPN, успя да зарази и шифрова системите на няколко болници и правителствени структури на САЩ, използвайки полезен товар от рансъмуер. Същият  е забелязан от агенцията за киберсигурност, докато „се опитва да продаде откраднатите идентификационни данни след 30 неуспешни опита да се свърже с клиентската среда, за да ескалира привилегиите и да пусне рансъмуера“. Хакери също бяха наблюдавани, докато използват инструменти за отдалечено администриране като TeamViewer и LogMeIn като импровизирани задни врати, предназначени да помогнат да се постигне постоянство в мрежите на жертвите им дори след изгонването им.

Поправянето е само първата стъпка за смекчаване

Ако не бъде поправена, CVE-2019-11510 може да позволи на неупълномощени хакери да компрометират уязвими VPN сървъри и да „получат достъп до всички активни потребители и техните пълномощни идентификационни данни“ и да изпълняват произволни команди, ако те също не променят паролите. Въпреки това, дори след закърпване на уязвимите сървъри на Pulse Secure VPN, „CISA е наблюдавала инциденти, при които компрометирани идентификационни данни на Active Directory са били използвани месеци след като организацията жертва е закърпила техния VPN уред.“ „Атаките, използващи уязвимостите в Pulse Connect Secure, все още продължават и дори се комбинират с рансъмуер, което може да повлияе на непрекъснатостта на бизнеса на организациите“, потвърди JPCERT по-рано този месец. CISA пусна помощна програма с отворен код, наречена check-your-pulse и предназначена да помогне на компаниите да анализират своите регистрационни файлове на Pulse Secure VPN, за да намерят индикатори за компрометиране и да решат дали е необходимо пълно нулиране на паролата за акаунт в Active Directory. Докато на 25 август 2019 г. фирмата за разузнаване на киберзаплахи Bad Packets откри 14 528 неконструирани сървъра Pulse Secure, миналия месец намери 2099 уязвими сървъра Pulse Secure VPN, достъпни през Интернет, след провеждане на 25-ия кръг на сканиране за уязвимост. Bad Packets също така забелязаха проверка на активността на масово сканиране за устройствата Pulse Secure VPN   на 4 април и на 17 април. „CISA настоятелно призовава организации, които все още не са го направили, да надградят своята Pulse Secure VPN до съответните корекции за CVE-2019-11510“, заключава агенцията. „Ако – след прилагане на мерките за откриване в този сигнал – организации открият доказателства за експлоатация на CVE-2019-11510, CISA препоръчва промяна на паролите за всички акаунти на Active Directory, включително акаунти на администратори и услуги.“

 

Източник: По материали от Интернет

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
Бъдете социални
Още по темата
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
21/06/2024

Change Healthcare най-после...

UnitedHealth за първи път потвърди какви...
21/06/2024

Хакери на Хамас шпионират П...

Хакери, свързани с Хамас, са замесени...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!