È in corso un massiccio attacco cyber che prende di mira i dispositivi di accesso remoto e i servizi VPN. È quanto affermano gli esperti di cyber security del CSIRT-Italia.
L’azione viene svolta attraverso scansioni ad ampio raggio, finalizzate all’individuazione di porte aperte. Identificati possibili riferimenti a dispositivi di accesso remoto o servizi VPN, si sfruttano le note vulnerabilità per ottenere un accesso alla rete, bersaglio dei cyber criminali. Gli attacchi sono rivolti a installazioni Citrix NetScaler e F5, oltre al servizio Pulse Secure VPN, sfruttando le vulnerabilità CVE-2019-11510, CVE-2019-11539, CVE-2019-19781 e CVE-2020-5902.
Una volta ottenuto l’accesso, i criminali cyber installano strumenti volti al prelievo di dati, successivamente venduti su piattaforme online. Non è possibile escludere la distribuzione ransomware sui sistemi presenti nelle reti delle vittime.
L’arsenale utilizzato comprende anche uno script PowerShell, parte del progetto open source “KeeThief”, che può consentire ai criminal hacker di accedere alle credenziali archiviate nel software di gestione delle password “KeePass”.