Атаки программы-вымогателя оказались особенно разрушительными, с тщательными усилиями по уничтожению резервных копий. Почти в каждом известном случае все резервные копии были утеряны. Злоумышленники взломали и стерли NAS-серверы, используемые для резервного копирования, и устройства автоматического резервного копирования на ленту.
Группа программы-вымогателя Akira использовала уязвимость в Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), идентифицированную как CVE-2023-20269, для атаки на организации. Эта уязвимость позволяет неаутентифицированному удаленному атакующему провести атаку методом грубой силы для определения действительных комбинаций имени пользователя и пароля. Cisco осведомлена о хакерской кампании и отмечает, что активность угрозы, нацеленной на устройства Cisco ASA SSL VPN, началась как минимум в марте 2023 года.
Финские исследователи подчеркнули, что атака не может обойти многоэтапную аутентификацию и посоветовали организациям защититься от уничтожения резервных копий, создавая их в автономном режиме. Они также рекомендовали следовать правилу 3-2-1 для наиболее важных резервных копий: хранить как минимум три резервные копии в двух различных местах, причем одна из этих копий должна быть полностью отключена от сети.
Ransomware Akira активен с марта 2023 года и утверждает, что взломал несколько организаций в различных отраслях. Группа разработала шифровальщик для Linux для атаки на серверы VMware ESXi.
Source: Securityaffairs
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.