САЩ: ХАКЕРИ ИЗПОЛЗВАТ ПЪЛНОМОЩИЯ ЗА АКТИВНИ ДИРЕКТОРИИ ЗА ДА АТАКУВАТ БОЛНИЦИ

Хакери са внедрили рансъмуер в системите на американски болници и държавни институции, използвайки откраднати идентификационни данни за активни директории месеци след като са използвали известна уязвимост за дистанционно изпълнение на код (RCE) в своите Pulse Secure VPN сървъри. Въпреки че уязвимостта, проследявана като CVE-2019-11510, беше закърпена от Pulse Secure преди една година, Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) предупреди организациите през януари 2020 г. да поправят своите Pulse Secure VPN сървъри срещу продължаващи атаки, след пореден сигнал през октомври 2019г.

ФБР също заяви във флаш сигнал за сигурност от януари т.г., че правителствено финансирани хакери са нарушили мрежите на американско общинско правителство и американско финансово образувание, след като са използвали уязвимости в Pulse Secure за  VPN. Въпреки всички тези предупреждения, CISA трябваше да издаде още един сигнал в края на май, призовавайки организациите незабавно да поправят CVE-2019-11510, за да блокират нападателите да получат достъп до техните мрежи и да откраднат идентификационни данни на администратор на домейн.

Откупи, болници и държавни субекти

„CISA наблюдава – след като идентификационните данни са компрометирани – авторите на киберзаплахите, осъществяващи достъп до мрежи на жертви чрез устройствата Pulse Secure VPN те използваха прокситата за свързване – като Tor инфраструктурата и виртуалните частни сървъри (VPS) – за да минимизират шанса за откриване, когато се свързват с пробитиVPN устройства.“ Един от хакерите, който CISA наблюдава, използвайки откраднати идентификационни данни след експлоатация на устройствата Pulse Secure VPN, успя да зарази и шифрова системите на няколко болници и правителствени структури на САЩ, използвайки полезен товар от рансъмуер. Същият  е забелязан от агенцията за киберсигурност, докато „се опитва да продаде откраднатите идентификационни данни след 30 неуспешни опита да се свърже с клиентската среда, за да ескалира привилегиите и да пусне рансъмуера“. Хакери също бяха наблюдавани, докато използват инструменти за отдалечено администриране като TeamViewer и LogMeIn като импровизирани задни врати, предназначени да помогнат да се постигне постоянство в мрежите на жертвите им дори след изгонването им.

Поправянето е само първата стъпка за смекчаване

Ако не бъде поправена, CVE-2019-11510 може да позволи на неупълномощени хакери да компрометират уязвими VPN сървъри и да „получат достъп до всички активни потребители и техните пълномощни идентификационни данни“ и да изпълняват произволни команди, ако те също не променят паролите. Въпреки това, дори след закърпване на уязвимите сървъри на Pulse Secure VPN, „CISA е наблюдавала инциденти, при които компрометирани идентификационни данни на Active Directory са били използвани месеци след като организацията жертва е закърпила техния VPN уред.“ „Атаките, използващи уязвимостите в Pulse Connect Secure, все още продължават и дори се комбинират с рансъмуер, което може да повлияе на непрекъснатостта на бизнеса на организациите“, потвърди JPCERT по-рано този месец. CISA пусна помощна програма с отворен код, наречена check-your-pulse и предназначена да помогне на компаниите да анализират своите регистрационни файлове на Pulse Secure VPN, за да намерят индикатори за компрометиране и да решат дали е необходимо пълно нулиране на паролата за акаунт в Active Directory. Докато на 25 август 2019 г. фирмата за разузнаване на киберзаплахи Bad Packets откри 14 528 неконструирани сървъра Pulse Secure, миналия месец намери 2099 уязвими сървъра Pulse Secure VPN, достъпни през Интернет, след провеждане на 25-ия кръг на сканиране за уязвимост. Bad Packets също така забелязаха проверка на активността на масово сканиране за устройствата Pulse Secure VPN   на 4 април и на 17 април. „CISA настоятелно призовава организации, които все още не са го направили, да надградят своята Pulse Secure VPN до съответните корекции за CVE-2019-11510“, заключава агенцията. „Ако – след прилагане на мерките за откриване в този сигнал – организации открият доказателства за експлоатация на CVE-2019-11510, CISA препоръчва промяна на паролите за всички акаунти на Active Directory, включително акаунти на администратори и услуги.“

 

Източник: По материали от Интернет

Подобни публикации

8 декември 2022

Устойчиви ли са криптовалутите?

Инвестирането в криптовалути през годините донесе богатство на мноз...
6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
28 ноември 2022

Поредна глоба за Meta

Ирландската комисия за защита на данните (DPC) наложи глоба на Meta...
Бъдете социални
Още по темата
01/12/2022

Google с обвинения към исп...

Смята се, че базираният в Барселона...
25/11/2022

Арестуваха 142 души при гло...

В резултат на координирани усилия на...
24/11/2022

34 руски групи откраднаха н...

Цели 34 рускоговорящи банди, разпространяващи зловреден...
Последно добавени
08/12/2022

Устойчиви ли са криптовалут...

Инвестирането в криптовалути през годините донесе...
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!