Сложная операция программ-вымогателей была связана с эксплуатацией критической уязвимости в программном обеспечении Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) за несколько недель до публикации официального бюллетеня безопасности вендора. Угрозный актор, отслеживаемый под именем Interlock (также известный как UNC5325), — финансовая мотивированная группа, связанная с крупным картелем программ-вымогателей LockBit, — использовал этот ранний доступ для проникновения в корпоративные сети. Этот инцидент подчеркивает опасную тенденцию, когда продвинутые киберпреступные синдикаты получают доступ к информации о критических уязвимостях до выпуска публичных патчей, что дает им значительную фору для организации атак на непропатченные и незащищенные системы.
Рассматриваемая уязвимость, CVE-2024-20353, представляет собой ошибку типа «отказ в обслуживании» (DoS) и «удаленное выполнение кода» (RCE) с максимальным баллом CVSS 10.0. Она существует в функции аппаратного шифрования SSL/TLS в некоторых межсетевых экранах Cisco ASA и FTD. Cisco выпустила патчи и бюллетень безопасности 26 июня 2024 года. Однако, согласно расследованиям кибербезопасностных компаний, Interlock активно использовал эту уязвимость в атаках уже в конце мая 2024 года. Группировка применяла специально созданные Python-скрипты для эксплуатации уязвимости, что позволило им выполнять произвольный код, обеспечивать устойчивость и развертывать дополнительные полезные нагрузки, включая программу-вымогатель Interlock, на скомпрометированных устройствах.
Операционная модель Interlock в этих атаках раскрывает высокоцелевой и продуманный подход. Группировка не развертывала программу-вымогатель сразу после получения первоначального доступа. Вместо этого они проводили масштабную разведку сети, перемещались латерально к контроллерам доменов и собирали учетные данные. Этот многоэтапный процесс был направлен на максимизацию воздействия и рычагов для шантажа. Конечное развертывание программы-вымогателя Interlock в сочетании с кражей конфиденциальных данных является примером тактики двойного вымогательства — требования выкупа как за расшифровку файлов, так и за предотвращение публичного раскрытия украденной информации. Компрометация ключевого устройства безопасности сети, такого как межсетевой экран, обеспечивает исключительно мощный плацдарм, позволяя злоумышленникам отключать средства защиты, а также отслеживать или перенаправлять трафик.
Эта кампания эксплуатации до публичного раскрытия информации имеет серьезные последствия для состояния безопасности предприятий. Она подчеркивает критическую важность проактивного поиска угроз и предположения, что сложные противники могут иметь доступ к уязвимостям нулевого дня (zero-day) или n-дня до широкой публики. Защитники должны уделять первостепенное внимание быстрому развертыванию патчей для критически важных периметровых устройств, особенно межсетевых экранов и VPN-шлюзов. Кроме того, организациям следует внедрять надежную сегментацию сети, отслеживать аномальные исходящие соединения с устройств безопасности и поддерживать строгие протоколы резервного копирования и восстановления, изолированные от основной сети. Кампания Interlock служит суровым напоминанием о том, что безопасность самих инструментов, предназначенных для защиты сети, может быть обращена против нее, что требует многоуровневой и бдительной стратегии защиты.
