2023年,芬兰国家网络安全中心发现了12起来自Akira勒索软件的攻击事件,这些事件与安全性较差的思科VPN漏洞有关,恢复正常通常很困难。根据芬兰国家网络安全中心的调查,Akira勒索软件于2023年6月在芬兰首次被发现,在年底尤为活跃。去年12月报告的7起勒索软件案件中,有6起涉及Akira家族的恶意软件。
Akira是一种勒索软件即服务(RaaS)恶意软件,专业的网络犯罪分子提供现成的恶意软件和基础设施给他人使用。这种情况下,实际的攻击者不一定需要具备足够高级的技术来创建自己的恶意软件,而只需能够搜寻和找到潜在受害者网络的访问方式。使用和传播Akira勒索软件的威胁行为者通常会出于经济目的和机会主义的考虑,选择相对容易攻击的目标。一旦攻击成功,他们通常会努力熟悉受害者组织,以扩大勒索金额的要求,并评估目标付款能力以及任何丢失数据的重要性。他们也可能试图与受害者进行谈判。
芬兰国家网络安全中心的信息安全专家表示,在2023年底,他们所了解的勒索软件案例明显显示了攻击者通过Cisco ASA或FTD设备上的VPN接入点访问受害者网络的情况。
2023年秋季,这些设备的软件中发现了一个漏洞(CVE-2023-20269),该漏洞允许使用暴力破解方法搜索有效的VPN令牌。然而,值得注意的是,攻击无法绕过多重身份验证。因此,更新网络设备并使用多因素身份验证尤为重要,因为通过这些措施可能可以预防Akira团伙的恶意攻击。
根据芬兰国家网络安全中心的信息,使用Akira的攻击者获得对网络的访问权限后,会进行网络扫描,并最终以备份和密钥服务器为目标。他们窃取了Windows服务器上的用户名和密码,并加密了密钥文件。虚拟化服务器(尤其是Vmware产品)也被用来加密虚拟机磁盘。攻击者通常以破坏备份系统为主要目标。
在已报道的攻击事件中,通常用于备份的网络连接存储服务器已被破坏和擦除,自动磁带备份设备也受到了破坏和擦除。已知的所有备份渠道几乎全部失效。
因此,如果发现有勒索软件活动,无论是否造成影响,都应该更改所有在线使用的密码。此外,事实证明,防止备份遭到破坏的唯一可靠方法是采用 “脱机备份”手段(这些备份无法通过网络访问,只能通过实际访问存储位置才能获取)。只有这样做才能有效抵御网络攻击的威胁。
