使用REvil(Sodinokibi)勒索软件勒索大型组织的网络罪犯现在瞄准的是未打补丁的Pulse Secure VPN服务器,以获得立足之地并禁用防病毒软件。
安全研究人员正在敦促使用Pulse Secure VPN的组织立即进行修补,否则将面临犯罪分子的“big game”勒索软件攻击,这些犯罪分子可以轻松地使用Shodan.io IoT搜索引擎来识别易受攻击的VPN服务器。
REvil(Sodinokibi)勒索软件上个月被用攻击纳斯达克上市的美国数据中心提供商CyrusOne,并在夏季时用来袭击了几家托管服务提供商,20个德克萨斯州地方政府和400多个牙医办公室。
英国安全研究员凯文·博蒙特(Kevin Beaumont)将REvil列为“big game”类别,因为犯罪分子使用REvil加密关键业务系统并要求巨额资金。勒索软件病毒在4月被发现时,使用Oracle WebLogic中的漏洞感染系统。
美国CISA,美国国家安全局和英国国家网络安全中心在10月发出的警告中标记的补丁,但面向REvil的Pulse Secure VPN服务器尚未应用。警告之前,有证据表明,国家支持的黑客正在利用Pulse Secure和Fortinet VPN产品中的漏洞。
现在,该漏洞已被网络犯罪分子采用,可能是因为它是一个强大的漏洞。
Beaumont指出,Pulse Secure VPN错误 “非常严重”,因为它允许没有有效凭据的远程攻击者远程连接到公司网络,禁用多因素身份验证以及以纯文本(包括活动)形式远程查看日志和缓存的密码。目录帐户密码。
在过去一周中,他检测到的两个事件采用了相同的基本策略:获得对网络的访问权,获取域管理员控制权,然后使用开源VNC远程访问软件在网络中移动。
之后,所有端点安全工具都被禁用,REvil(Sodinokibi)通过Windows远程管理实用程序PsExec推送到所有系统,允许用户在远程系统上启动“交互式命令提示符”。
根据安全公司Bad Packets于1月4日进行的扫描,有3,825个Pulse Secure VPN服务器尚未针对漏洞CVE-2019-11510进行补丁修补-这是10月警报中的两个Pulse Secure VPN漏洞之一。这些易受攻击的VPN服务器中有1300多个位于美国。
按国家
划分的易受攻击的Pulse Secure VPN服务器总数:美国:1, 316
日本:394
英国:221
韩国:203
法国:186
德国:141
中国:123
中国香港:93
比利时:89
加拿大:74
其他:985 https://t.co/sOuyPywPCD—Bad Packets Report (@bad_packets)2020年1月4日
*编译:Domino
*来自:ZDNET