Ransomware : les VPN Cisco attaqués par Akira et LockBit

Les VPN de Cisco sont attaqués par des acteurs du ransomware, dont Akira et LockBit 3.0, selon un avis de sécurité de l’équipementier réseau ainsi que Rapid7.

Cisco a révélé le 24 août des attaques contre ses VPNs avec une note d’information rédigée par Omar Santos, ingénieur principal de l’équipe de réponse aux incidents de sécurité des produits de Cisco. Selon Omar Santos, des acteurs malveillants liés à la franchise de rançongiciel Akira visent les VPNs de Cisco qui ne sont pas configurés pour l’authentification à facteurs multiples (MFA).

Bien que peu de détails techniques aient été inclus, Omar Santos a déclaré qu’il était estimé que les attaquants avaient obtenu un accès VPN en force brute ou en achetant des identifiants volés sur le dark web. De plus, dans les attaques signalées, la journalisation n’était pas configurée. « Cela a rendu difficile la détermination précise de la manière dont les attaquants du ransomware Akira ont pu accéder aux VPNs », relève Omar Santos dans l’avis.

Rapid7, que Cisco a remercié dans l’avis du 24 août pour son aide dans l’enquête, a publié mardi la synthèse de recherches offrant un aperçu technique supplémentaire des attaques. Rapid7 y indique avoir suivi des attaques avec ransomware impliquant l’accès à des comptes VPN SSL de l’Adaptive Security Appliance (ASA) de Cisco depuis, au moins, mars. Des adversaires ont été observés menant des attaques en bourrage d’identifiants, ainsi que des attaques en force brute contre des organisations où la MFA n’était pas pleinement obligatoire.

« Rapid7 a identifié au moins 11 clients ayant subi des intrusions liées à Cisco ASA entre le 30 mars et le 24 août 2023 », indique l’éditeur : « nos équipes ont retracé l’activité malveillante jusqu’à un appareil ASA assurant le service des VPN SSL pour les utilisateurs distants. Les correctifs de l’appareil ASA variaient d’un appareil compromis à l’autre – Rapid7 n’a pas référencé une version particulière anormalement susceptible d’être exploitée ».

De plus, « plusieurs incidents » ont abouti au déploiement de ransomwares par Akira et LockBit, selon Rapid7. Akira est un groupe plus récent, suivi pour la première fois en mars 2023, tandis que LockBit est considéré depuis un certain temps comme l’un des acteurs majeurs du ransomware.

Dans le cadre de son enquête, Rapid7 a dit avoir surveillé des forums clandestins et des chaînes Telegram où étaient discutées des intrusions liées à Cisco ASA. Ses équipes de renseignement sur les menaces ont observé un courtier en accès initial « bien connu » sous le pseudonyme « Bassterlord » promouvant un guide pour violer les réseaux d’entreprise. Rapid7 a obtenu une copie divulguée du guide et a trouvé des références aux VPN SSL de Cisco.

« De manière notable, l’auteur assurait avoir compromis 4 865 services VPN SSL de Cisco et 9 870 services VPN de Fortinet avec la combinaison nom d’utilisateur/mot de passe test:test », indique Rapid7. Dès lors, « il est possible que – compte tenu des discussions sur le dark web et de l’augmentation de l’activité de menace observée –, les instructions du manuel aient contribué à la hausse des attaques en force brute ciblant les VPN ASA de Cisco ».

Un porte-parole de Cisco a déclaré à la rédaction de TechTarget que des groupes de rançongiciels, y compris Akira, LockBit et Trigona, « profitent des VPN à travers l’industrie qui ne sont pas configurés pour l’authentification à plusieurs facteurs ». Les équipes Cisco Talos suivent « actuellement ce regroupement d’activités sous la référence UAT3102 ». 

Du fait « de la diversité des opérateurs de rançongiciels observés, en plus de l’infrastructure récurrente et des TTPs se chevauchant, nous pensons qu’un courtier en accès initiaux (IAB) est responsable du ciblage et de l’accès initial ».

Mais attention : « ce n’est pas seulement contre les VPN Cisco que Cisco Talos suit l’activité », mais plutôt contre les VPN qui ne sont pas configurés pour forcer l’application de la MFA, tous équipementiers confondus.