使用REvil(Sodinokibi)勒索軟件勒索大型組織的網絡罪犯瞄準未打補丁的Pulse Secure VPN服務器,並禁用防病毒軟件。安全研究人員正在敦促使用Pulse Secure VPN的組織立即進行修補,否則將面臨犯罪分子的“大規模”勒索軟件攻擊,這些犯罪分子可以輕鬆地使用Shodan.io IoT搜索引擎來識別易受攻擊的VPN服務器。
圖源:網絡
上個月,在納斯達克上市的美國數據中心提供商CyrusOne遭到REvil(Sodinokibi)勒索軟件攻擊,而去年夏天,美國的幾個網絡服務商、德克薩斯州的20多個地方政府機構以及400多個牙醫診所也相繼遭到了網絡攻擊。
由於犯罪分子利用該勒索軟件來加密關鍵業務系統,並要求鉅額贖金解密,英國安全研究員凱文·博蒙特將REvil歸為“big game”類別,該勒索軟件病毒株於去年4月被發現,主要是使用Oracle WebLogic中的漏洞來感染系統。
去年10月,美國CISA、美國國家安全局聯合英國國家網絡安全中心發佈的警告稱:REvil瞄準的Pulse secure VPN服務器還未打補丁。此前有證據顯示,政府支持的黑客正在利用Pulse Secure 以及Fortinet VPN產品中的漏洞,由於該漏洞已被網絡犯罪分子廣泛使用,因而波及範圍也越來越廣。
凱文·博蒙特指出:由於該服務器允許遠程攻擊者在沒有有效憑據的情況下連接公司網絡,同時禁用多種形式的身份驗證,在這樣的情況下以純文本的形式遠程查看包括活動目錄和賬戶密碼在內的日誌和緩存密碼,導致Pulse Secure VPN 漏洞情況越來越糟糕。上週發生的兩起漏洞事件都採用了類似的手段:通過訪問網絡來獲取域管理控制,然後使用開源VNC遠程訪問軟件來訪問移動網絡。
在這樣的流程後,所有安全端口都會被禁用,REvil(Sodinokibi)勒索軟件會通過PsExec滲透到Windows遠程管理系統中。網絡安全公司Bad Packets 1月4日掃描數據顯示:仍有3825臺Pulse secure VPN服務器漏洞還未被修補,其中去年10月警報中所提到的CVE-2019-11510漏洞就包含其中,而1300多個易受攻擊的漏洞VPN服務器位於美國。
twitter 截圖
文章來源:hackernews.cc
閱讀更多 安全圈 的文章
