Warnung vor Ransomware-Angriffen: Cisco ruft zur Aktivierung der Mehrfaktorauthentifizierung auf
Das Cisco Product Security Incident Response Team (PSIRT) schlägt Alarm: Unternehmen, die Cisco-VPNs ohne aktivierte Mehrfaktorauthentifizierung (MFA) verwenden, könnten Ziel von Ransomware-Angriffen werden. Diese Bedrohung geht von der Akira-Ransomware aus, die gezielt auf ungeschützte VPNs abzielt und damit Cyberkriminellen Tür und Tor öffnet.
Die Experten des Cisco IT-Sicherheitsforschungsteams betonen in einem Blog-Beitrag die kritische Notwendigkeit, die Mehrfaktorauthentifizierung für VPNs zu aktivieren, um mögliche Angriffe abzuwehren. Die Angreifer fokussieren sich insbesondere auf Lücken in der MFA-Implementierung sowie auf Sicherheitslücken in der VPN-Software.
Der Angriffsverlauf ist besorgniserregend: Nach dem initialen Einbruch über das VPN versuchen die Angreifer Zugangsdaten zu erbeuten, indem sie LSASS-Dumps (Local Security Authority Subsystem Service) ausnutzen. Mit diesen Zugangsdaten bewegen sie sich im Netzwerk, erweitern ihre Rechte und verschaffen sich Zugriff. Die Akira-Ransomware-Gruppe nutzt dabei vorhandene Werkzeuge wie "Living off the land-binaries" (LOLBins) oder kommerzielle Produkte wie PCHunter64. Zudem greifen sie auf Mini-Dumps zurück, um weitere Informationen im Zielnetzwerk zu sammeln.
Die Akira-Ransomware-Gruppe betreibt eine Webseite im Darknet auf dem Tor-Netzwerk. Hier listen sie ihre Opfer auf und drohen damit, gestohlene Daten zu veröffentlichen, sollten die Betroffenen den Lösegeldforderungen nicht nachkommen.
Die Angriffsmethoden scheinen vielfältig zu sein. Einerseits gibt es Hinweise auf Brute-Force- und Password-Spraying-Versuche, bei denen automatisierte Werkzeuge unzählige Kombinationen von Nutzernamen und Passwörtern ausprobieren. Andererseits setzen die Angreifer auf häufig genutzte Passwörter in Kombination mit verschiedenen Nutzernamen, um die Angriffserkennung zu umgehen. In einigen Fällen haben die Angreifer sogar gültige Zugangsdaten auf Darknet-Marktplätzen erworben.
Um solche Angriffe frühzeitig zu erkennen, ist eine umfassende Protokollierung (Logging) vonnöten. In den untersuchten Fällen war das Logging auf den Cisco ASAs nicht aktiviert, was die Ermittlungen zur Identifizierung des Angriffsziels erschwerte.
Glücklicherweise gibt es in einigen Fällen von Akira-Ransomware-Befall Hoffnung: Im Juli hat das IT-Sicherheitsforschungsteam von Avast ein Entschlüsselungstool für Windows veröffentlicht, das möglicherweise Opfern die Wiederherstellung ihrer Dateien ermöglicht, ohne auf Lösegeldzahlungen angewiesen zu sein.