Ο Φινλανδός πάροχος υπηρεσιών πληροφορικής και εταιρικής φιλοξενίας cloud Tietoevry υπέστη επίθεση ransomware που επηρεάζει πελάτες φιλοξενίας cloud σε ένα από τα κέντρα δεδομένων του στη Σουηδία, με την επίθεση να φέρεται να διεξήχθη από τη συμμορία ransomware Akira.
Η Tietoevry είναι μια φινλανδική εταιρεία υπηρεσιών πληροφορικής που προσφέρει διαχειριζόμενες υπηρεσίες και φιλοξενία cloud για την επιχείρηση. Η εταιρεία απασχολεί περίπου 24.000 άτομα σε όλο τον κόσμο και είχε έσοδα 3,1 δισεκατομμυρίων δολαρίων το 2023.
Η Tietoevry επιβεβαίωσε
σήμερα
ό
τι
η επίθεση ransomware σημειώθηκε το βράδυ της Παρασκευής έως το πρωί του Σαββάτου και έχει επηρεάσει μόνο ένα από τα κέντρα δεδομένων τους στη Σουηδία.
«Η επίθεση περιορίστηκε σε ένα μέρος ενός από τα σουηδικά κέντρα δεδομένων μας, επηρεάζοντας τις υπηρεσίες της Tietoevry σε ορισμένους από τους πελάτες μας στη Σουηδία», εξηγεί μια δήλωση τύπου από την Tietoevry.
“Η Tietoevry απομόνωσε αμέσως την πληγείσα πλατφόρμα και η επίθεση ransomware δεν έχει επηρεάσει άλλα μέρη της υποδομής της εταιρείας.”
Η BleepingComputer έμαθε ότι αυτό το κέντρο δεδομένων χρησιμοποιείται για την υπηρεσία φιλοξενίας cloud της εταιρείας που διαχειρίζεται η εταιρεία, οδηγώντας σε διακοπές για πολλούς πελάτες στη Σουηδία.
Η εταιρεία λέει ότι βρίσκεται στη διαδικασία αποκατάστασης υποδομών και υπηρεσιών, αλλά ότι οι πελάτες εξακολουθούν να επηρεάζονται καθώς επαναφέρουν τους διακομιστές στο διαδίκτυο.
“Η Tietoevry ακολουθεί μια καλά δοκιμασμένη μεθοδολογία προκειμένου να αποκαταστήσει τις υποδομές και τις υπηρεσίες. Οι εργασίες διεξάγονται με προγραμματισμένη σειρά για να διασφαλιστεί ο σωστός χειρισμός των δεδομένων των πελατών”, συνεχίζει η
δήλωση τύπου
.
“Το χρονοδιάγραμμα θα ποικίλλει επίσης κάπως ανάλογα με τον πελάτη, τις εν λόγω λύσεις και τις σχετικές ανάγκες αποκατάστασης δεδομένων.”
Η BleepingComputer επικοινώνησε με τον Tietoevry για περισσότερες πληροφορίες σχετικά με την επίθεση, αλλά του είπαν μόνο ότι η επίθεση “επηρέασε ένα συγκεκριμένο τμήμα ενός από τα κέντρα δεδομένων του Tietoevry που βρίσκεται στη Σουηδία”.
Ο Tietoevry είχε υποστεί στο παρελθόν επίθεση ransomware το 2021 που τον ανάγκασε να αποσυνδέσει τις υπηρεσίες πελατών.
Εάν έχετε οποιαδήποτε πληροφορία σχετικά με αυτήν την επίθεση ή άλλες κυβερνοεπιθέσεις, μπορείτε να επικοινωνήσετε μαζί μας με ασφάλεια στο Signal στο +1 (646) 961-3731, μέσω email στη διεύθυνση
ή χρησιμοποιώντας τη φόρμα συμβουλών.
Η επίθεση προκαλεί εκτεταμένες διακοπές λειτουργίας
Η BleepingComputer έμαθε ότι η επίθεση ransomware κρυπτογραφούσε τους διακομιστές εικονικοποίησης και διαχείρισης της εταιρείας που χρησιμοποιούνται για τη φιλοξενία των ιστοσελίδων ή των εφαρμογών για ένα ευρύ φάσμα επιχειρήσεων στη Σουηδία.
Η μεγαλύτερη αλυσίδα κινηματογράφου της Σουηδίας,
Η Filmstaden, επιβεβαίωσε
ότι είναι μεταξύ εκείνων που επηρεάστηκαν από την επίθεση, αποτρέποντας τις ηλεκτρονικές αγορές εισιτηρίων κινηματογράφου μέσω του ιστότοπου ή της εφαρμογής για κινητά.
Μήνυμα στον ιστότοπο της Filmstaden που προειδοποιεί για τη διακοπή της πληροφορικής
Πηγή: BleepingComputer
Άλλες εταιρείες που επηρεάστηκαν από την επίθεση περιλαμβάνουν την αλυσίδα λιανικής πώλησης εκπτώσεων
Ρούστα
πάροχος πρώτων υλών οικοδομής
Moelven
και γεωργικός προμηθευτής Grangnården, ο οποίος αναγκάστηκε να
κλείσει τα καταστήματά του
ενώ αποκαθίστανται οι υπηρεσίες πληροφορικής.
Η διακοπή επηρεάζει επίσης το σύστημα διαχείρισης μισθοδοσίας και ανθρώπινου δυναμικού της Tietoevry, το Primula, το οποίο χρησιμοποιείται από την κυβέρνηση, τα πανεπιστήμια και τα κολέγια στη Σουηδία.
Τα επηρεαζόμενα πανεπιστήμια και κολέγια της χώρας περιλαμβάνουν τα
Ινστιτούτο Καρολίνσκα
,
SLU
,
Πανεπιστήμιο Δυτ
Πανεπιστήμιο Στοκχόλμης, Πανεπιστήμιο Lunds και Πανεπιστήμιο του Μάλμε.
Η διακοπή της Primula έχει επίσης επηρεάσει πολλές κυβερνητικές υπηρεσίες και δήμους στη Σουηδία, συμπεριλαμβανομένων των
Πολιτειακό κέντρο εξυπηρέτησης
ο
δήμος Vellinge
,
δήμος του Bjuv
και
Κομητεία Ουψάλα
.
Για την Ουψάλα η διακοπή είναι πιο σημαντική καθώς επηρεάζει επίσης το σύστημα αρχείων υγειονομικής περίθαλψης της περιοχής.
Το Akira ransomware φέρεται να βρίσκεται πίσω από την επίθεση
Η BleepingComputer ενημερώθηκε ότι η επιχείρηση ransomware Akira βρίσκεται πίσω από την επίθεση στο Tietoevry, αμέσως μετά την προειδοποίηση της φινλανδικής κυβέρνησης για τις συνεχιζόμενες επιθέσεις της εναντίον εταιρειών στη χώρα.
Η επιχείρηση ransomware Akira ξεκίνησε τον Μάρτιο του 2023 και γρήγορα άρχισε να παραβιάζει εταιρικά δίκτυα παγκοσμίως σε επιθέσεις διπλού εκβιασμού.
Το Φινλανδικό Εθνικό Κέντρο Κυβερνοασφάλειας (
NCSC
)
αποκαλύφθηκε αυτόν τον μήνα
ότι υπήρξαν 12 αναφερόμενες περιπτώσεις επιθέσεων ransomware Akira το 2023, με την πλειονότητα να συμβαίνει στα τέλη του έτους.
“Τα περιστατικά σχετίζονταν ιδιαίτερα με ασθενώς ασφαλείς εφαρμογές Cisco VPN ή με τις μη επιδιορθωμένες ευπάθειές τους. Η ανάκτηση είναι συνήθως δύσκολη”, προειδοποίησε το φινλανδικό NCSC.
Τον Αύγουστο, η BleepingComputer ανέφερε ότι η συμμορία ransomware Akira παραβίαζε λογαριασμούς Cisco VPN που δεν προστατεύονταν από έλεγχο ταυτότητας πολλαπλών παραγόντων για να αποκτήσουν πρόσβαση σε εσωτερικά εταιρικά δίκτυα.
Μόλις οι φορείς απειλής παραβιάσουν ένα δίκτυο, εξαπλώνονται πλευρικά σε άλλες
συσκευές
ενώ κλέβουν εταιρικά δεδομένα. Μόλις κλαπούν όλα τα δεδομένα και αποκτήσουν δικαιώματα διαχειριστή, οι φορείς απειλών κρυπτογραφούν τα
αρχεία
στο δίκτυο.
Η Cisco είπε τότε στο BleepingComputer ότι οι πελάτες θα πρέπει να ρυθμίσουν το MFA σε όλους τους λογαριασμούς VPN και να στείλουν δεδομένα καταγραφής σε έναν απομακρυσμένο διακομιστή syslog.
Χρησιμοποιώντας έναν απομακρυσμένο διακομιστή syslog, ακόμα κι αν οι παράγοντες απειλής διαγράψουν τα αρχεία καταγραφής στο δρομολογητή Cisco, θα εξακολουθούν να είναι προσβάσιμα για ανάλυση μετά από παραβίαση.
VIA:
bleepingcomputer.com
