Скрупулёзный подход злоумышленников таит в себе угрозу национального уровня.
Национальный центр кибербезопасности Финляндии (NCSC-FI) предупреждает об активизации деятельности шифровальщика Akira. По данным центра, в минувшем декабре при помощи данного вымогательского ПО хакеры провели шесть успешных атак из семи зафиксированных попыток. Жертвами стали несколько местных компаний.
Особенностью атак стало полное уничтожение резервных копий данных, что лишает жертв какой-либо возможности восстановить информацию без уплаты выкупа, тем самым усиливая давление на пострадавших. Злоумышленники атаковали как сетевые хранилища NAS, так и ленточные накопители для архивирования. По словам экспертов NCSC-FI, «преступники тщательно уничтожали все резервные копии».
В качестве меры защиты центр рекомендует использовать офлайн-резервирование с хранением копий сразу в нескольких локациях. «Для наиболее важных резервных копий было бы целесообразно следовать правилу 3-2-1. То есть хранить как минимум три резервные копии в двух разных местах и полностью отключить одну из них от сети», — заявил Олли Хоне из NCSC-FI.
По данным NCSC-FI, взлом происходил через уязвимость CVE-2023-20269 в продуктах Cisco. Благодаря её эксплуатации, злоумышленники смогли провести атаку методом полного перебора (брутфорс) и заполучить пароли существующих пользователей.
Уязвимость была признана Cisco в сентябре 2023 года, однако первые атаки фиксировались исследователями ещё с августа. После проникновения хакеры создавали подробную карту сети, выявляли критически важные серверы и резервные копии, крали учётные данные с серверов, а затем шифровали важные файлы и диски виртуальных машин, особенно на платформе VMware.
Чтобы не стать жертвой той же уязвимости, эксперты NCSC-FI настоятельно рекомендует обновить Cisco ASA до версии 9.16.2.11 и выше, а также Cisco FTD до версии 6.6.7 и выше.
Но доступ к знаниям открыт для всех