Az Akira zsarolóvírus már a többfaktoros védelemnél is átjut

A kiberbűnözők ismét bebizonyították, hogy a többfaktoros hitelesítés (MFA) sem jelent mindig áthatolhatatlan védelmi vonalat. Az Akira zsarolóvírus-művelet továbbfejlesztett támadásaival sikeresen célozza meg a SonicWall SSL VPN eszközeit, még akkor is, ha ezeket egylépcsős jelszóval és többfaktoros bejelentkezéssel próbálják védeni az üzemeltetők. Különösen fontos kiemelni, hogy a behatolók valószínűleg korábban ellopott egyszer használatos jelszó (OTP) magokat használnak fel, bár módszerük pontos részlete továbbra sem tisztázott.

Régi sebezhetőségből indul a támadás

A kezdetek 2024 júliusára nyúlnak vissza, amikor az Akira első hulláma kihasználta a CVE-2024-40766 jelű hibát a SonicWall VPN-ekben. Ez a hiba a jogosultságkezelés hiányosságai miatt lehetővé tette, hogy illetéktelenek hozzáférést szerezzenek az eszközökön keresztül vállalati hálózatokhoz. Habár a hibát augusztusban javították, a támadók továbbra is képesek voltak a már ellopott felhasználói hitelesítő adatokkal – köztük OTP magokkal – belépni, akár a biztonsági frissítések után is.

Friss támadási hullámok és fejlett módszerek

Az Arctic Wolf biztonsági cég és a Google Threat Intelligence Group is észlelt újabb támadási hullámokat, ahol a támadók sikeresen jutottak be olyan fiókokba, amelyekhez elvileg OTP-alapú többfaktoros azonosítás kellett volna. A sikeres bejelentkezéseket többszöri OTP-kérés előzte meg, ami arra utal, hogy vagy valóban megszerezték a titkos OTP magokat, vagy alternatív módon állítanak elő érvényes jelszavakat. A támadók gyakran kevesebb mint 5 perc alatt feltérképezték a belső hálózatot, majd speciális eszközökkel, például dsquery-vel, SharpShares-szel és BloodHounddal vizsgálták az Active Directory objektumokat.

Különös figyelem jutott a Veeam Backup & Replication szerverekre is, ahol egyedi PowerShell-szkripttel fejtették vissza a tárolt MSSQL-, PostgreSQL-jelszavakat és DPAPI-titkosításokat. A védelem kijátszásához a bűnözők a Microsoft legális consent.exe alkalmazását használták, hogy sérülékeny eszközillesztőket töltsenek be, és így kikapcsolják a védelmet, utat engedve a zsarolóvírusnak.

Mit tehetnek a rendszergazdák?

Összefoglalva megállapítható, hogy a legújabb, 7.3.0-s SonicOS verzió sem jelent teljes biztonságot, ha a készülék korábban sebezhető volt. Az adminisztrátoroknak ezért sürgősen újra kell állítaniuk minden VPN-hozzáférési adatot azoknál az eszközöknél, ahol korábban sérülékeny firmware futott, mert a támadók a korábban begyűjtött felhasználói adatok segítségével könnyen visszaszerezhetik a hozzáférést a céges hálózatokhoz – annak ellenére, hogy a rendszert időközben már frissítették.

2025, adminboss, www.bleepingcomputer.com alapján