O Centro Nacional de Cibersegurança da Finlândia (NCSC-FI) está informando um aumento da atividade do ransomware Akira em dezembro, visando empresas no país e apagando backups.
A agência diz que os ataques do ator de ameaças representaram seis dos sete casos de incidentes de ransomware relatados no mês passado.
A destruição dos backups amplifica os danos do ataque e permite ao ator da ameaça aumentar a pressão sobre a vítima, pois elimina a opção de restaurar os dados sem o pagamento de um resgate.
Organizações menores frequentemente usam dispositivos de armazenamento conectados à rede (NAS) para esse propósito, mas a agência finlandesa destaca que esses sistemas não foram poupados nos ataques do ransomware Akira.
Os invasores também direcionaram seus ataques a dispositivos de backup em fita, que são normalmente usados como um sistema secundário para armazenar cópias digitais dos dados.
“Em todos os casos, esforços foram feitos para destruir meticulosamente os backups, e o atacante realmente faz um grande esforço para isso," diz uma versão traduzida da notificação.
"Dispositivos de Armazenamento Conectados à Rede (NAS) muitas vezes usados para backups, foram invadidos e esvaziados, bem como dispositivos de backup automático em fita, e em quase todos os casos que conhecemos, todos os backups foram perdidos," informa a agência.
O NCSC-FI sugere que as organizações passem a usar backups offline em vez disso, espalhando as cópias em vários lugares para protegê-las de acessos físicos não autorizados.
A agência finlandesa diz que os ataques do ransomware Akira ganharam acesso à rede das vítimas depois de explorar o
CVE-2023-20269
, uma vulnerabilidade que afeta o recurso VPN nos produtos Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD).
A vulnerabilidade permite que atacantes não autorizados realizem ataques de força bruta e descubram as credenciais dos usuários existentes, onde não há proteção de login, como autenticação por vários fatores (MFA).
O
CVE-2023-20269
foi reconhecido pela Cisco como um zero-day em setembro de 2023 e as correções foram lançadas no mês seguinte.
No entanto, pesquisadores de segurança relataram desde o início de agosto de 2023 que o ransomware Akira vinha se aproveitando disso para obter acesso.
As atividades pós-comprometimento observadas incluem mapear a rede, visar backups e servidores críticos, roubar nomes de usuário e senhas de servidores Windows, criptografar arquivos importantes e criptografar os discos de máquinas virtuais em servidores de virtualização, principalmente aqueles que usam produtos VMware.
Para evitar ataques que explorem essa vulnerabilidade, as organizações são fortemente recomendadas a atualizar para o Cisco ASA 9.16.2.11 ou posterior e o Cisco FTD 6.6.7 ou posterior.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...