САЩ: ХАКЕРИ ИЗПОЛЗВАТ ПЪЛНОМОЩИЯ ЗА АКТИВНИ ДИРЕКТОРИИ ЗА ДА АТАКУВАТ БОЛНИЦИ

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Уязвимости
1 юни 2021

Хакери са внедрили рансъмуер в системите на американски болници и държавни институции, използвайки откраднати идентификационни данни за активни директории месеци след като са използвали известна уязвимост за дистанционно изпълнение на код (RCE) в своите Pulse Secure VPN сървъри. Въпреки че уязвимостта, проследявана като CVE-2019-11510, беше закърпена от Pulse Secure преди една година, Американската агенция за киберсигурност и сигурност на инфраструктурата (CISA) предупреди организациите през януари 2020 г. да поправят своите Pulse Secure VPN сървъри срещу продължаващи атаки, след пореден сигнал през октомври 2019г.

ФБР също заяви във флаш сигнал за сигурност от януари т.г., че правителствено финансирани хакери са нарушили мрежите на американско общинско правителство и американско финансово образувание, след като са използвали уязвимости в Pulse Secure за  VPN. Въпреки всички тези предупреждения, CISA трябваше да издаде още един сигнал в края на май, призовавайки организациите незабавно да поправят CVE-2019-11510, за да блокират нападателите да получат достъп до техните мрежи и да откраднат идентификационни данни на администратор на домейн.

Откупи, болници и държавни субекти

„CISA наблюдава – след като идентификационните данни са компрометирани – авторите на киберзаплахите, осъществяващи достъп до мрежи на жертви чрез устройствата Pulse Secure VPN те използваха прокситата за свързване – като Tor инфраструктурата и виртуалните частни сървъри (VPS) – за да минимизират шанса за откриване, когато се свързват с пробитиVPN устройства.“ Един от хакерите, който CISA наблюдава, използвайки откраднати идентификационни данни след експлоатация на устройствата Pulse Secure VPN, успя да зарази и шифрова системите на няколко болници и правителствени структури на САЩ, използвайки полезен товар от рансъмуер. Същият  е забелязан от агенцията за киберсигурност, докато „се опитва да продаде откраднатите идентификационни данни след 30 неуспешни опита да се свърже с клиентската среда, за да ескалира привилегиите и да пусне рансъмуера“. Хакери също бяха наблюдавани, докато използват инструменти за отдалечено администриране като TeamViewer и LogMeIn като импровизирани задни врати, предназначени да помогнат да се постигне постоянство в мрежите на жертвите им дори след изгонването им.

Поправянето е само първата стъпка за смекчаване

Ако не бъде поправена, CVE-2019-11510 може да позволи на неупълномощени хакери да компрометират уязвими VPN сървъри и да „получат достъп до всички активни потребители и техните пълномощни идентификационни данни“ и да изпълняват произволни команди, ако те също не променят паролите. Въпреки това, дори след закърпване на уязвимите сървъри на Pulse Secure VPN, „CISA е наблюдавала инциденти, при които компрометирани идентификационни данни на Active Directory са били използвани месеци след като организацията жертва е закърпила техния VPN уред.“ „Атаките, използващи уязвимостите в Pulse Connect Secure, все още продължават и дори се комбинират с рансъмуер, което може да повлияе на непрекъснатостта на бизнеса на организациите“, потвърди JPCERT по-рано този месец. CISA пусна помощна програма с отворен код, наречена check-your-pulse и предназначена да помогне на компаниите да анализират своите регистрационни файлове на Pulse Secure VPN, за да намерят индикатори за компрометиране и да решат дали е необходимо пълно нулиране на паролата за акаунт в Active Directory. Докато на 25 август 2019 г. фирмата за разузнаване на киберзаплахи Bad Packets откри 14 528 неконструирани сървъра Pulse Secure, миналия месец намери 2099 уязвими сървъра Pulse Secure VPN, достъпни през Интернет, след провеждане на 25-ия кръг на сканиране за уязвимост. Bad Packets също така забелязаха проверка на активността на масово сканиране за устройствата Pulse Secure VPN   на 4 април и на 17 април. „CISA настоятелно призовава организации, които все още не са го направили, да надградят своята Pulse Secure VPN до съответните корекции за CVE-2019-11510“, заключава агенцията. „Ако – след прилагане на мерките за откриване в този сигнал – организации открият доказателства за експлоатация на CVE-2019-11510, CISA препоръчва промяна на паролите за всички акаунти на Active Directory, включително акаунти на администратори и услуги.“

 

#атаки, # пробиви в сигурността, # рансъмуер
По материали от Интернет

Подобни

Apache OpenOffice 4.1.16 закърпва критични уязвимости
13.11.2025
vulnerabilities pexels-shkrabaanthony-5475752
Microsoft отстрани сериозен проблем в Windows 11 Task Manager
13.11.2025
windows-11-6377156_1280
Windows 11 23H2 (Home и Pro) вече не получава обновления за сигурност
12.11.2025
Windows_11_blur
Microsoft пусна първия разширен ъпдейт за Windows 10
12.11.2025
Windows-10
Microsoft публикува ноемврийските си обновления за сигурност
12.11.2025
microsoft_pexels-salvatore-de-lellis-107015876-9683980
Три критични уязвимости в runc застрашават изолацията на контейнери
11.11.2025
Stop - Ransomware - neon colors1

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.