Το Finish National Cybersecurity Center (NCSC-FI), το εθνικό κέντρο κυβερνοασφάλειας της Φινλανδίας, προειδοποιεί τους πολίτες για αυξημένες επιθέσεις από τη συμμορία ransomware Akira. Οι επιθέσεις ξεκίνησαν τον Δεκέμβριο και στόχευσαν εταιρείες στη χώρα, διαγράφοντας ταυτόχρονα τα αντίγραφα ασφαλείας.
Σύμφωνα με τον οργανισμό, οι επιθέσεις από το Akira ransomware αποτελούσαν τις έξι από τις επτά περιπτώσεις περιστατικών ransomware που αναφέρθηκαν τον περασμένο μήνα.
Η διαγραφή των αντιγράφων ασφαλείας της εταιρείας ενισχύει τον αντίκτυπο της επίθεσης και επιτρέπει στους επιτιθέμενους να ασκήσουν μεγαλύτερη πίεση για την πληρωμή των λύτρων.
Δείτε επίσης: Ο στρατός της Παραγουάης προειδοποιεί για τις “επιπτώσεις” του ransomware μετά το Tigo hack
Αρκετές μικρομεσαίες επιχειρήσεις χρησιμοποιούν συσκευές network-attached storage (NAS) για το σκοπό αυτό, αλλά η φινλανδική υπηρεσία τονίζει ότι αυτά τα συστήματα δεν γλίτωσαν από τις επιθέσεις Akira ransomware.
Ο οργανισμός λέει ότι οι hackers στόχευαν, επίσης, συσκευές tape backup, οι οποίες συνήθως χρησιμοποιούνται ως δευτερεύον σύστημα για την αποθήκευση ψηφιακών αντιγράφων των δεδομένων.
Γενικά, φαίνεται ότι σε αυτές τις επιθέσεις δίνεται ιδιαίτερη έμφαση στην καταστροφή των αντιγράφων και σχεδόν σε όλες τις περιπτώσεις, οι προσπάθειες των hackers ήταν επιτυχημένες.
Το εθνικό κέντρο κυβερνοασφάλειας της Φινλανδίας προτείνει στους οργανισμούς να στραφούν στη χρήση αντιγράφων ασφαλείας εκτός σύνδεσης και σε διάφορες τοποθεσίες, ώστε να περιοριστεί ο κίνδυνος καταστροφής τους μέσω μη εξουσιοδοτημένης φυσικής πρόσβασης.
“Για τα πιο σημαντικά αντίγραφα ασφαλείας, θα ήταν σκόπιμο να ακολουθήσετε τον κανόνα 3-2-1. Δηλαδή, κρατήστε τουλάχιστον τρία αντίγραφα ασφαλείας σε δύο διαφορετικές τοποθεσίες και κρατήστε ένα από αυτά τα αντίγραφα εντελώς εκτός δικτύου“, προτείνει το NCSC-FI.
Παραβίαση μέσω VPN της Cisco
Η φινλανδική υπηρεσία αναφέρει ότι οι επιθέσεις από το Akira ransomware στο δίκτυο των θυμάτων ήταν δυνατές χάρη στην εκμετάλλευση του CVE-2023-20269, μιας ευπάθειας που επηρεάζει τη δυνατότητα VPN στα προϊόντα Cisco Adaptive Security Appliance (ASA) και Cisco Firepower Threat Defense (FTD).
Δείτε επίσης: Babuk ransomware: Εργαλείο αποκρυπτογράφησης για την παραλλαγή Tortilla
Η ευπάθεια επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να πραγματοποιούν επιθέσεις brute force και να βρίσκουν τα credentials των υπαρχόντων χρηστών, όταν δεν υπάρχει προστασία σύνδεσης, όπως έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA).
Η Cisco διόρθωσε την εν λόγω ευπάθεια τον Οκτώβριο του 2023. Ωστόσο, ερευνητές ασφαλείας ανέφεραν από τις αρχές Αυγούστου 2023 ότι το Akira ransomware χρησιμοποιούσε την ευπάθεια για πρόσβαση στα δίκτυα των θυμάτων.
Μετά την αρχική παραβίαση, γίνεται χαρτογράφηση του δικτύου, στόχευση των αντιγράφων ασφαλείας και των σημαντικών διακομιστών, κλοπή ονομάτων χρήστη και κωδικών πρόσβασης από διακομιστές Windows, κρυπτογράφηση σημαντικών αρχείων και δίσκων virtual machines σε virtualization servers, ιδιαίτερα εκείνων που χρησιμοποιούν προϊόντα VMware.
Για να αποφευχθούν επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια, συνιστάται στους οργανισμούς να αναβαθμίσουν στην έκδοση Cisco ASA 9.16.2.11 ή μεταγενέστερη έκδοση και Cisco FTD 6.6.7 ή μεταγενέστερη έκδοση.
Βασικές πρακτικές ασφαλείας
Μία από τις προτεινόμενες λύσεις για την αντιμετώπιση του Akira ransomware είναι η χρήση antivirus λογισμικού. Τα προηγμένα antivirus προγράμματα μπορούν να αναγνωρίσουν και να αφαιρέσουν το Akira, προσφέροντας ένα επίπεδο προστασίας για τα δεδομένα σας.
Επιπλέον, η δημιουργία τακτικών αντιγράφων ασφαλείας των δεδομένων σας (με τον τρόπο που αναφέραμε παραπάνω) είναι ζωτικής σημασίας. Αυτό σας επιτρέπει να αποκαταστήσετε τα δεδομένα σας σε περίπτωση που γίνετε θύμα του Akira ransomware, χωρίς να χρειάζεται να πληρώσετε τα απαιτούμενα λύτρα.
Δείτε επίσης: Οργανισμοί έρχονται αντιμέτωποι με νέους εκβιασμούς μετά τις Ransomware επιθέσεις
Η εκπαίδευση των χρηστών για την αναγνώριση και την αποφυγή επικίνδυνων συνδέσμων και επισυνάψεων μπορεί να είναι εξαιρετικά αποτελεσματική. Οι χρήστες πρέπει να είναι ενήμεροι για τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, η χρήση ενός VPN μπορεί να βοηθήσει στην προστασία των δεδομένων σας από την πρόσβαση του Akira ransomware. Τα VPNs κρυπτογραφούν την επικοινωνία σας στο διαδίκτυο, δυσκολεύοντας την πρόσβαση των επιτιθέμενων στα δεδομένα σας.
Πηγή: www.bleepingcomputer.com