Cisco VPNs zonder multifactorauthenticatie doelwit van Akira Ransomware
Cisco VPN's zonder multifactorauthenticatie (MFA) zijn het doelwit van ransomware-aanvallen. Het gaat om aanvallen door criminelen achter de Akira-ransomware, die het voorzien hebben op organisaties die geen MFA voor hun VPN-gebruikers hebben ingeschakeld. Het NCSC wil graag berichtgeving rondom Akira ransomware-aanvallen gericht op Cisco VPNs zonder multifactorauthenticatie (MFA) extra onder de aandacht brengen.
Op 24 augustus 2023 publiceert Cisco PSIRT een blog [1] waarin wordt verwezen naar berichtgeving in de media [2] over Akira ransomware-aanvallen op Cisco VPNs. De VPNs van slachtoffers zouden geen MFA hebben ingesteld.
Cisco stelt dat misbruik van de VPN een kwaadwillende initiële toegang geeft. Hierna kan de kwaadwillende door het netwerk bewegen om accounts met verhoogde gebruikersrechten te bemachtigen en gevoelige gegevens te exfiltreren. Akira versleutelt vervolgens de gegevens op het netwerk en eist losgeld. [1]
Cisco stelt dat kwaadwillenden toegang hebben verkregen via brute-force aanvallen of via illegaal gekochte credentials. [1]
Onderzoek van het NCSC wijst uit dat Cisco VPNs ook in Nederland veelvuldig gebruikt worden.
Een beveiligingsonderzoeker stelt dat Cisco VPNs zonder MFA kans hebben om binnenkort slachtoffer te worden van Akira ransomware. [3] De onderzoeker deelt ook informatie hoe organisaties het systeem kunnen controleren op mogelijke compromittatie.
Duiding
Het NCSC heeft op dit moment geen indicatie dat er in Nederland slachtoffers van Akira zijn.
Akira maakt op dit moment gericht misbruik van Cisco VPNs zonder MFA om initial access te verkrijgen. Wanneer MFA niet is ingesteld dan is de kans op een Akira ransomware-aanval mogelijk.
* Wanneer u MFA heeft ingesteld dan wordt de kans op compromittatie aanzienlijk kleiner.
Handelingsperspectief
Het NCSC adviseert organisaties die gebruik maken van Cisco VPNs met klem aan om multifactorauthenticatie in te stellen. Meer informatie is te vinden in de Basismaatregelen Cybersecurity onder het hoofdstuk "Pas sterke authenticatie toe". [4] [5]
Wanneer u geen MFA heeft ingesteld, dan dient u uw AD authenticatie logs te controleren op de volgende indicatoren: 4624 en 4625 events van onbekende systemen of WIN-* machines. [3] Dit kan duiden op onrechtmatige toegang van kwaadwillenden.
Cisco raadt aan om op uw Cisco Adaptive Security Appliance (ASA) Software logging-functionaliteiten in te stellen. [1]
Bronnen / Sources
[1] https://blogs.cisco.com/security/akira-ransomware-targeting-vpns-without-multi-factor-authentication
[2] https://www.bleepingcomputer.com/news/security/akira-ransomware-targets-cisco-vpns-to-breach-organizations/
[3] https://twitter.com/SecurityAura/status/1687960096758726656
[4] https://www.ncsc.nl/onderwerpen/multifactorauthenticatie
[5] https://www.ncsc.nl/onderwerpen/basismaatregelen
[6] https://english.ncsc.nl/publications/publications/2021/august/4/guide-to-cyber-security-measures
Dutch IT events
Alle events
