Специалисты группы управляемого обнаружения и реагирования (MDR) компании Rapid7 отмечают повышенную активность угроз, направленных на устройства Cisco ASA SSL VPN (физические и виртуальные), начиная как минимум с марта 2023 года.
В одних случаях злоумышленники проводили атаки с использованием слабых или стандартных паролей, в других - целенаправленные атаки методом перебора на устройства ASA, в которых многофакторная аутентификация (MFA) либо не была включена, либо применялась не ко всем пользователям (например, через группы обхода MFA). Несколько инцидентов, на которые отреагировали команды управляемых служб Rapid7, закончились развертыванием программ-вымогателей группами Akira и LockBit.
При этом нет четкой закономерности в выборе целевых организаций или вертикали. Пострадавшие организации различаются по размеру и относятся к здравоохранению, профессиональным услугам, производству, нефтегазовой отрасли и другим вертикалям.
Indicators of Compromise
IPv4
- 144.217.86.109
- 149.57.12.131
- 149.57.15.181
- 149.93.239.176
- 158.255.215.236
- 161.35.92.242
- 162.35.92.242
- 173.208.205.10
- 176.124.201.200
- 185.157.162.21
- 185.193.64.226
- 193.233.228.183
- 193.233.228.86
- 193.233.230.161
- 194.28.112.157
- 45.66.209.122
- 45.80.107.220
- 5.183.253.129
- 5.61.43.231
- 94.232.44.118
- 95.181.148.101
- 95.181.150.173