Gli attacchi ransomware sono stati particolarmente distruttivi, con sforzi accurati fatti per distruggere i backup. In quasi ogni caso noto, tutti i backup sono andati persi. Gli aggressori hanno hackerato e cancellato i server NAS utilizzati per i backup e i dispositivi di backup automatici su nastro.
Il gruppo ransomware Akira ha sfruttato una vulnerabilità nel Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD), identificata come CVE-2023-20269, per prendere di mira le organizzazioni. Questa vulnerabilità permette a un aggressore remoto non autenticato di condurre un attacco a forza bruta per identificare combinazioni valide di nome utente e password. Cisco è a conoscenza della campagna di hacking, notando che l’attività di minaccia mirata agli apparati Cisco ASA SSL VPN risale almeno a marzo 2023.
I ricercatori finlandesi hanno sottolineato che l’attacco non può eludere l’autenticazione multi-passo e hanno consigliato alle organizzazioni di proteggersi contro la distruzione dei backup effettuando backup offline. Hanno anche raccomandato di seguire la regola 3-2-1 per i backup più importanti: mantenere almeno tre backup in due diverse località, con una di queste copie completamente fuori dalla rete.
Il ransomware Akira è attivo dal marzo 2023 e afferma di aver hackerato molteplici organizzazioni in vari settori. Il gruppo ha sviluppato un cifratore Linux per prendere di mira i server VMware ESXi.
Source: Securityaffairs
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.