Sommario
Il Centro Nazionale di Cybersecurity della Finlandia (NCSC-FI) ha rilevato un aumento dell’attività del ransomware Akira a dicembre, prendendo di mira le aziende nel paese e cancellando i backup.
Dettagli dell’Attacco e Impatto
L’agenzia afferma che gli attacchi degli attori della minaccia hanno rappresentato sei dei sette casi di incidenti di ransomware segnalati il mese scorso. La cancellazione dei backup amplifica il danno dell’attacco e permette all’attore della minaccia di esercitare più pressione sulla vittima, eliminando l’opzione di ripristinare i dati senza pagare un riscatto.
Le organizzazioni più piccole spesso utilizzano dispositivi di archiviazione collegati in rete (NAS) per i backup, ma l’agenzia finlandese sottolinea che questi sistemi non sono stati risparmiati negli attacchi di ransomware Akira. Gli attaccanti hanno preso di mira anche dispositivi a nastro di backup, che di solito vengono utilizzati come sistema secondario per archiviare copie digitali dei dati.
Raccomandazioni di Sicurezza
L’NCSC-FI suggerisce alle organizzazioni di passare all’uso di backup offline, distribuendo le copie in varie località per proteggerle dall’accesso fisico non autorizzato. Per i backup più importanti, sarebbe opportuno seguire la regola 3-2-1: mantenere almeno tre copie di backup in due località diverse e tenere una di queste copie completamente fuori dalla rete.
Vie di Accesso: Vulnerabilità VPN di Cisco
L’agenzia finlandese afferma che gli attacchi di ransomware Akira hanno ottenuto l’accesso alla rete delle vittime sfruttando CVE-2023-20269, una vulnerabilità che colpisce la funzionalità VPN nei prodotti Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD). Questa vulnerabilità permette agli aggressori non autorizzati di eseguire attacchi di forza bruta e trovare le credenziali degli utenti esistenti, dove non è presente una protezione al login come l’autenticazione multi-fattore (MFA).
Consigli per la Prevenzione
Per evitare attacchi che sfruttano questa vulnerabilità, si raccomanda vivamente alle organizzazioni di aggiornare a Cisco ASA 9.16.2.11 o versioni successive e Cisco FTD 6.6.7 o versioni successive.
