Το Finish National Cybersecurity Center (
NCSC
-FI) ενημερώνει για αυξημένη δραστηριότητα ransomware
Akira
τον Δεκέμβριο, στοχεύοντας εταιρείες στη χώρα και σκουπίζοντας αντίγραφα ασφαλείας.
Ο οργανισμός αναφέρει ότι οι επιθέσεις του ηθοποιού απειλής αντιπροσώπευαν έξι από τις επτά περιπτώσεις περιστατικών ransomware που ανέφεραν τον περασμένο μήνα.
Το σκούπισμα των αντιγράφων ασφαλείας ενισχύει τη ζη
μι
ά της επίθεσης και επιτρέπει στον παράγοντα απειλής να ασκήσει μεγαλύτερη πίεση στο θύμα καθώς εξαλείφει την επιλογή επαναφοράς των δεδομένων χωρίς να πληρώσει λύτρα.
Οι μικρότεροι οργανισμοί χρησιμοποιούν συχνά συσκευές αποθήκευσης συνδεδεμένων με το δίκτυο (NAS) για το σκοπό αυτό, αλλά η φινλανδική υπηρεσία τονίζει ότι αυτά τα συστήματα δεν γλίτωσαν από επιθέσεις ransomware Akira.
Οι επιτιθέμενοι στοχεύουν επίσης συσκευές δημιουργίας αντιγράφων ασφαλείας, οι οποίες συνήθως χρησιμοποιούνται ως δευτερεύον σύστημα για την αποθήκευση ψηφιακών αντιγράφων των δεδομένων.
«Σε όλες τις περιπτώσεις, έχουν γίνει προσπάθειες για την σχολαστική καταστροφή των εφεδρικών αντιγράφων και ο εισβολέας όντως καταβάλλει κάθε δυνατή προσπάθεια για αυτό», αναφέρεται σε μια μηχανική έκδοση του
Γνωστοποίηση
.
«Συσκευές συνδεδεμένης με το δίκτυο αποθήκευσης (NAS) που χρησιμοποιούνται συχνά για δημιουργία αντιγράφων ασφαλείας έχουν σπάσει και αδειάσει, καθώς και συσκευές αυτόματης δημιουργίας αντιγράφων ασφαλείας ταινίας και σχεδόν σε όλες τις περιπτώσεις που γνωρίζουμε, όλα τα αντίγραφα ασφαλείας χάθηκαν», αναφέρει η υπηρεσία.
Το NCSC-FI προτείνει στους οργανισμούς να στραφούν στη χρήση αντιγράφων ασφαλείας εκτός σύνδεσης, διαδίδοντας τα αντίγραφα σε διάφορες τοποθεσίες για την προστασία τους από μη εξουσιοδοτημένη φυσική πρόσβαση.
«Για τα πιο σημαντικά αντίγραφα ασφαλείας, θα ήταν σκόπιμο να ακολουθήσετε τον κανόνα 3-2-1. Δηλαδή, κρατήστε τουλάχιστον τρία αντίγραφα ασφαλείας σε δύο διαφορετικές τοποθεσίες και κρατήστε ένα από αυτά τα αντίγραφα εντελώς εκτός δικτύου.” – Olli Hönö, NCSC-FI
Παραβίαση μέσω VPN της Cisco
Η φινλανδική υπηρεσία αναφέρει ότι οι επιθέσεις ransomware Akira απέκτησαν πρόσβαση στο δίκτυο των θυμάτων μετά την εκμετάλλευση του
CVE-2023-20269
, μιας ευπάθειας που επηρεάζει τη δυνατότητα VPN στα
προϊόντα
Cisco Adaptive Security Appliance (ASA) και Cisco Firepower Threat Defense (FTD).
Η ευπάθεια επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να πραγματοποιούν επιθέσεις ωμής βίας και να βρίσκουν τα διαπιστευτήρια των υπαρχόντων χρηστών, όπου δεν υπάρχει προστασία σύνδεσης, όπως έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA).
Το CVE-2023-20269 αναγνωρίστηκε από τη Cisco ως μηδενική ημέρα τον Σεπτέμβριο του 2023 και
κυκλοφόρησαν διορθώσεις
τον επόμενο μήνα. Ωστόσο, ερευνητές ασφαλείας ανέφεραν από τις αρχές Αυγούστου 2023 ότι το Akira ransomware το χρησιμοποιούσε για πρόσβαση.
Η παρατηρούμενη δραστηριότητα μετά τον συμβιβασμό περιλαμβάνει χαρτογράφηση του δικτύου, στόχευση αντιγράφων ασφαλείας και σημαντικών διακομιστών, κλοπή ονομάτων χρήστη και κωδικών πρόσβασης από διακομιστές Windows, κρυπτογράφηση σημαντικών αρχείων και κρυπτογράφηση δίσκων εικονικών μηχανών σε διακομιστές εικονικοποίησης, ιδιαίτερα εκείνων που χρησιμοποιούν προϊόντα VMware.
Για να αποφευχθούν επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια, συνιστάται στους οργανισμούς να αναβαθμίσουν σε Cisco ASA 9.16.2.11 ή μεταγενέστερη έκδοση και Cisco FTD 6.6.7 ή μεταγενέστερη έκδοση.
VIA:
bleepingcomputer.com
