Els atacs de ransomware han estat particularment destructius, amb esforços acurats per destruir les còpies de seguretat. Gairebé en tots els casos coneguts, s’han perdut totes les còpies de seguretat. Els atacants han hackejat i esborrat servidors NAS utilitzats per a còpies de seguretat i dispositius de còpia de seguretat automàtica en cinta.
El grup de ransomware Akira va explotar una vulnerabilitat en Cisco Adaptive Security Appliance (ASA) i Cisco Firepower Threat Defense (FTD), identificada com CVE-2023-20269, per atacar organitzacions. Aquesta vulnerabilitat permet a un atacant remot no autenticat realitzar un atac de força bruta per identificar combinacions vàlides de nom d’usuari i contrasenya. Cisco ha estat conscient de la campanya de hacking, assenyalant que l’activitat d’amenaça dirigida als dispositius VPN SSL de Cisco ASA es remunta almenys al març de 2023.
Els investigadors finlandesos van emfatitzar que l’atac no pot eludir l’autenticació de múltiples passos i van aconsellar a les organitzacions protegir-se contra la destrucció de còpies de seguretat realitzant còpies de seguretat fora de línia. També van recomanar seguir la regla 3-2-1 per a les còpies de seguretat més importants: mantenir almenys tres còpies de seguretat en dues ubicacions diferents, amb una d’aquestes còpies completament fora de la xarxa.
El ransomware Akira ha estat actiu des de març de 2023 i afirma haver hackejat múltiples organitzacions en diversos sectors. El grup ha desenvolupat un xifrador per a Linux per atacar servidors VMware ESXi.
Source: Securityaffairs
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.