Finish Ulusal Siber Güvenlik Merkezi (NCSC-FI), Aralık ayında artan Akira fidye yazılımı faaliyetini bilgilendiriyor, ülkedeki şirketleri hedef alıyor ve yedeklemeleri siliyor.
Ajans, tehdit oyuncunun saldırılarının geçen ay bildirilen yedi fidye yazılımı olayından altısını oluşturduğunu söylüyor.
Yedeklerin silinmesi, saldırının hasarını artırır ve tehdit oyuncusunun, bir fidye ödemeden verileri geri yükleme seçeneğini ortadan kaldırırken kurban üzerinde daha fazla baskı yapmasına izin verir.
Daha küçük kuruluşlar genellikle bu amaç için ağa bağlı depolama (NAS) cihazlarını kullanırlar, ancak Finlandiya ajansı, bu sistemlerin Akira fidye yazılımı saldırılarında kurtulmadığını vurgular.
Saldırganlar ayrıca, genellikle verilerin dijital kopyalarını depolamak için ikincil bir sistem olarak kullanılan bant yedekleme cihazlarını hedef aldı.
“Her durumda, yedeklemeleri titizlikle yok etmek için çaba sarf edildi ve saldırgan bunun için gerçekten büyük çaba sarf ediyor” diyor.
Ajans, “Yedeklemeler için sıklıkla kullanılan ağa bağlı depolama (NAS) cihazları, otomatik bant yedekleme cihazlarının yanı sıra kırılmış ve boşaltılmıştır ve bildiğimiz neredeyse tüm durumlarda tüm yedeklemeler kayboldu” diyor ajans.
NCSC-Fi, kuruluşların bunun yerine çevrimdışı yedeklemeleri kullanmaya geçtiğini ve kopyaları çeşitli yerlere yaydığını ve bunları yetkisiz fiziksel erişimden korumak için yaydığını gösteriyor.
Finlandiya ajansı, Akira fidye yazılımı saldırılarının CVE-2023-20269'dan yararlandıktan sonra kurban ağına erişim sağladığını söylüyor, bu da Cisco Adaptive Güvenlik Cihazı (ASA) ve Cisco Firepower Tehdit Savunma (FTD) ürünlerindeki VPN özelliğini etkileyen bir güvenlik açığı.
Güvenlik açığı, yetkisiz saldırganların kaba kuvvet saldırıları gerçekleştirmesine ve çok faktörlü kimlik doğrulama (MFA) gibi giriş koruması olmayan mevcut kullanıcıların kimlik bilgilerini bulmasına izin verir.
CVE-2023-20269, Cisco tarafından Eylül 2023'te sıfır gün olarak kabul edildi ve ertesi ay düzeltmeler yayınlandı. Ancak, güvenlik araştırmacıları Ağustos 2023'ten bu yana Akira fidye yazılımının erişim için bundan yararlandığını bildirdi.
Gözlemlenen kontromise sonrası etkinlik, ağın eşlenmesini, yedeklemeleri ve kritik sunucuları hedeflemeyi, Windows sunucularından kullanıcı adları ve şifreleri çalmayı, önemli dosyaları şifrelemeyi ve sanallaştırma sunucularında sanal makinelerin disklerini, özellikle VMware ürünlerini kullananları içerir.
Bu güvenlik açığından yararlanan saldırılardan kaçınmak için kuruluşların Cisco Asa 9.16.2.11 veya üstüne ve Cisco FTD 6.6.7 veya üstüne yükseltmeleri şiddetle tavsiye edilir.
Nissan Avustralya Siber Attack, Akira Fidye Yazılımı Çetesi tarafından Talep Edildi
Ransomware'de Hafta - 12 Ocak 2024 - Ev Sahiplerinin Verilerini Hedefleme
Fidelity National Financial: Hackerlar 1,3 milyon kişinin verilerini çaldı
Cisco, kritik birlik bağlantı hatasının saldırganların köklenmesine izin verdiğini söylüyor
Sahte hack-back tekliflerinin hedeflediği fidye yazılımı kurbanları
Kaynak: Bleeping Computer