Поделиться
Шифровальщик Akira целенаправленно атакует резервные копии данных
В Финляндии отмечена активизация шифровальщика Akira, который прицельно стремится не только зашифровать всё, что сможет, но и уничтожить все данные в резервных хранилищах. Для проникновения используется прошлогодняя уязвимость в аппаратах Cisco.
Убийца резервов
Национальный центр по кибербезопасности Финляндии (National Cyber Security Centre — Finland или NCSC-FI) объявил о росте активности шифровальщика Akira, который целенаправленно уничтожает резервные копии в NAS-накопителях (сетевые системы хранения или network-attached storage) и пытается ликвидировать копии на ленточных накопителях.
Из семи зарегистрированных в декабре прошлого года атак шифровальщиков шесть были совершены с использованием Akira.
Уничтожение резервных копий кратно повышает степень урона, наносимого шифровальщиком, поскольку лишает жертву возможности восстановить данные без выплаты выкупа.
Небольшие организации часто используют сетевые накопители (NAS) для хранения резервных копий, но, как подчеркивается в публикации Национального центра по кибербезопасности Финляндии, Akira целенаправленно атакует и NAS, и даже ленточные накопители, которые иногда используются в качестве вторичного резервного хранилища.
С задачей уничтожения резервных копий вредонос справляется весьма успешно. Операторы приложили значительные усилия к тому, чтобы не оставить жертвам возможности восстановить данные.
Правило 3-2-1
Эксперты NCSC-FI рекомендуют применять правило 3-2-1 при резервировании наиболее значимых данных: хранить запасные копии в двух разных местах, причем одно из них должно быть оффлайновым «холодным» хранилищем.
«Под холодными подразумеваются резервные накопители, которые не подключены к сети постоянно и даже физически изолированы; они используются только для пассивного хранения данных», - сказал эксперт по информационной безопасности компании SEQ Михаил Зайцев. По его словам, шифровальщик - это программа; для ее выполнения требуются вычислительные ресурсы, которых у «холодного» хранилища данных нет по определению, поэтому шифровальщик, даже если он попадет внутрь, не сможет ничего удалить. «Он просто не запустится. Другое дело, что при извлечении копии данных шифровальщик может все-таки начать действовать, но если это уже не первая встреча с ним, то нейтрализовать опасный файл будет куда легче», - подытожил Михаил Зайцев.
Эксперты NCSC-FI указывают также, что Akira проникал в системы жертв, судя по всему, через уязвимость CVE-2023-20269, выявленную в защитных устройствах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).
Данная уязвимость позволяет осуществлять брутфорс-атаки (последовательный перебор пароля или ключа шифрования) на целевые устройства и извлекать реквизиты доступа - при условии, что многофакторная авторизация отсутствует.
Эксплуатация этой уязвимости началась еще до ее обнаружения в сентябре 2023 г. Вендор выпустил необходимые обновления в октябре. Операторы Akira начали задействовать эту уязвимость уже в августе.
Операторы шифровальщика, по-видимому, осуществляли масштабную разведку сетевых ресурсов, определяли критические серверы и хранилища данных, старались выкрасть логины и пароли к серверам под управлением Windows и т.д.
Akira шифрует любые значимые файлы, в том числе на дисках виртуальных машинах, в первую очередь, под управлением VMware.
Организациям, использующим упомянутые решения, рекомендуется установить обновления ASA 9.16.2.11 и FTD 6.6.7 или более новые, устраняющие основную уязвимость.
Короткая ссылка
