Киберпреступники атакуют больницы и правительственные учреждения в США с помощью вымогательского ПО, используя учетные данные Active Directory, похищенные путем эксплуатации критической уязвимости в VPN-серверах Pulse Secure.

Уязвимость CVE-2019-11510, позволяющая удаленно выполнить код, была исправлена Pulse Secure в августе прошлого года. Первые попытки ее эксплуатации зафиксировал исследователь безопасности Кевин Бомон (Kevin Beaumont) 22 августа 2019 года. Кроме того, в прошлом году уязвимость активно эксплуатировалась киберпреступными группировками, финансируемыми иранским правительством. Тем не менее, несмотря на это, многие установки Pulse Secure до сих пор остаются уязвимыми.

На прошлой неделе Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) в очередной раз призвало организации как можно скорее обновить уязвимые версии Pulse Secure с целью предотвратить возможное проникновение злоумышленников в их сети и хищение учетных данных администратора домена.

Согласно уведомлению CISA, заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN. В целях избежать обнаружения при подключении к VPN-серверу жертвы киберпреступники используют прокси, в частности инфраструктуру Tor и виртуальные выделенные серверы (VPS).

Одна из обнаруженных CISA киберпреступных группировок после похищения учетных данных через уязвимую установку Pulse Secure VPN смогла заразить вымогательским ПО сети нескольких больниц и госучреждений в США и зашифровать хранящуюся в них информацию. Тем не менее, в 30 случаях попытки проникновения в сетевую среду оказались безуспешными, после чего группировка выставила похищенные учетные данные Active Directory на продажу.

Уязвимость CVE-2019-11510 позволяет удаленному неавторизованному атакующему скомпрометировать VPN-серверы, получить доступ к незашифрованным учетным данным всех активных пользователей и выполнить произвольные команды, если пользователи не сменили свои пароли.

Установившие обновление организации по-прежнему могут оставаться уязвимыми, если патч был применен уже после того, как злоумышленники проникли в сети. В связи с этим CISA выпустило утилиту с открытым исходным кодом check-your-pulse, позволяющую организациям находить индикаторы взлома и решать, нужно ли сбрасывать пароли Active Directory.