Хакеры заражают больницы вымогательским ПО с помощью учетных данных AD
20.04.2020 12:02
Заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN.
Киберпреступники атакуют больницы и правительственные учреждения в США с помощью вымогательского ПО, используя учетные данные Active Directory, похищенные путем эксплуатации критической уязвимости в VPN-серверах Pulse Secure.
Уязвимость CVE-2019-11510, позволяющая удаленно выполнить код, была исправлена Pulse Secure в августе прошлого года. Первые попытки ее эксплуатациизафиксировалисследователь безопасности Кевин Бомон (Kevin Beaumont) 22 августа 2019 года. Кроме того, в прошлом году уязвимость активноэксплуатироваласькиберпреступными группировками, финансируемыми иранским правительством. Тем не менее, несмотря на это, многие установки Pulse Secure до сих пор остаются уязвимыми.
На прошлой неделе Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) в очередной раз призвало организации как можно скорее обновить уязвимые версии Pulse Secure с целью предотвратить возможное проникновение злоумышленников в их сети и хищение учетных данных администратора домена.
СогласноCISA, заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN. В целях избежать обнаружения при подключении к VPN-серверу жертвы киберпреступники используют прокси, в частности инфраструктуру Tor и виртуальные выделенные серверы (VPS).
Одна из обнаруженных CISA киберпреступных группировок после похищения учетных данных через уязвимую установку Pulse Secure VPN смогла заразить вымогательским ПО сети нескольких больниц и госучреждений в США и зашифровать хранящуюся в них информацию. Тем не менее, в 30 случаях попытки проникновения в сетевую среду оказались безуспешными, после чего группировка выставила похищенные учетные данные Active Directory на продажу.
Уязвимость CVE-2019-11510 позволяет удаленному неавторизованному атакующему скомпрометировать VPN-серверы, получить доступ к незашифрованным учетным данным всех активных пользователей и выполнить произвольные команды, если пользователи не сменили свои пароли.
Установившие обновление организации по-прежнему могут оставаться уязвимыми, если патч был применен уже после того, как злоумышленники проникли в сети. В связи с этим CISAутилиту с открытым исходным кодом check-your-pulse, позволяющую организациям находить индикаторы взлома и решать, нужно ли сбрасывать пароли Active Directory.
Киберпреступники атакуют больницы и правительственные учреждения в США с помощью вымогательского ПО, используя учетные данные Active Directory, похищенные путем эксплуатации критической уязвимости в VPN-серверах Pulse Secure.
Уязвимость CVE-2019-11510, позволяющая удаленно выполнить код, была исправлена Pulse Secure в августе прошлого года. Первые попытки ее эксплуатациизафиксировалисследователь безопасности Кевин Бомон (Kevin Beaumont) 22 августа 2019 года. Кроме того, в прошлом году уязвимость активноэксплуатироваласькиберпреступными группировками, финансируемыми иранским правительством. Тем не менее, несмотря на это, многие установки Pulse Secure до сих пор остаются уязвимыми.
На прошлой неделе Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) в очередной раз призвало организации как можно скорее обновить уязвимые версии Pulse Secure с целью предотвратить возможное проникновение злоумышленников в их сети и хищение учетных данных администратора домена.
СогласноCISA, заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN. В целях избежать обнаружения при подключении к VPN-серверу жертвы киберпреступники используют прокси, в частности инфраструктуру Tor и виртуальные выделенные серверы (VPS).
Одна из обнаруженных CISA киберпреступных группировок после похищения учетных данных через уязвимую установку Pulse Secure VPN смогла заразить вымогательским ПО сети нескольких больниц и госучреждений в США и зашифровать хранящуюся в них информацию. Тем не менее, в 30 случаях попытки проникновения в сетевую среду оказались безуспешными, после чего группировка выставила похищенные учетные данные Active Directory на продажу.
Уязвимость CVE-2019-11510 позволяет удаленному неавторизованному атакующему скомпрометировать VPN-серверы, получить доступ к незашифрованным учетным данным всех активных пользователей и выполнить произвольные команды, если пользователи не сменили свои пароли.
Установившие обновление организации по-прежнему могут оставаться уязвимыми, если патч был применен уже после того, как злоумышленники проникли в сети. В связи с этим CISAутилиту с открытым исходным кодом check-your-pulse, позволяющую организациям находить индикаторы взлома и решать, нужно ли сбрасывать пароли Active Directory.
Чтобы оставить комментарий, необходимо войти
Онлайн
Последние сообщения
Статистика
Темы:
13 818
Сообщения:
80 710
Пользователи:
10 505
Комментарий от Boom
Комментарий от 4ever
Комментарий от kozanova
Комментарий от br9
Комментарий от vbiv
Комментарий от mOOn