Le Centre national de cybersécurité de la Finlande (NCSC-FI) informe de l’augmentation de l’activité des ransomwares Akira en décembre, ciblant les entreprises du pays et effaçant les sauvegardes.
L’agence affirme que les attaques de l’auteur de la menace représentaient six des sept cas d’incidents de ransomware signalés le mois dernier.
Effacer les sauvegardes amplifie les dégâts de l’attaque et permet à l’auteur de la menace de mettre plus de pression sur la victime car il élimine la possibilité de restaurer les données sans payer de rançon.
Les petites organisations utilisent souvent des périphériques de stockage en réseau (NAS) à cette fin, mais l’agence finlandaise souligne que ces systèmes n’ont pas été épargnés par les attaques de ransomware Akira.
Les attaquants ont également ciblé des périphériques de sauvegarde sur bande, qui sont généralement utilisés comme système secondaire pour stocker des copies numériques des données.
“Dans tous les cas, des efforts ont été déployés pour détruire méticuleusement les sauvegardes, et l’attaquant se donne en effet beaucoup de mal pour cela”, lit-on dans une version traduite automatiquement de la notification.
“Les périphériques de stockage en réseau (NAS) souvent utilisés pour les sauvegardes ont été cambriolés et vidés, ainsi que les périphériques de sauvegarde automatique sur bande, et dans presque tous les cas que nous connaissons, toutes les sauvegardes ont été perdues”, informe l’agence.
Le NCSC-FI suggère aux organisations de passer à l’utilisation de sauvegardes hors ligne à la place, en répartissant les copies sur différents emplacements pour les protéger des accès physiques non autorisés.
« Pour les sauvegardes les plus importantes, il serait conseillé de suivre la règle du 3-2-1. Autrement dit, conservez au moins trois sauvegardes dans deux emplacements différents et conservez l’une de ces copies complètement hors du réseau.” – Oi Hönö, NCSC-FI, directeur général
Piraté via les VPN Cisco
L’agence finlandaise a déclaré que les attaques de ransomware Akira avaient eu accès au réseau des victimes après avoir exploité CVE-2023-20269, une vulnérabilité qui affecte la fonctionnalité VPN des produits Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD).
La vulnérabilité permet aux attaquants non autorisés de mener des attaques par force brute et de trouver les informations d’identification des utilisateurs existants, là où il n’y a pas de protection de connexion telle que l’authentification multifacteur (MFA).
CVE-2023-20269 a été reconnu par Cisco comme un jour zéro en septembre 2023 et des correctifs ont été publiés le mois suivant. Cependant, des chercheurs en sécurité ont signalé depuis début août 2023 que le ransomware Akira l’exploitait pour y accéder.
L’activité post-compromission observée comprend la cartographie du réseau, le ciblage des sauvegardes et des serveurs critiques, le vol des noms d’utilisateur et des mots de passe des serveurs Windows, le cryptage des fichiers importants et le cryptage des disques des machines virtuelles sur les serveurs de virtualisation, en particulier ceux utilisant des produits VMware.
Pour éviter les attaques qui exploitent cette vulnérabilité, il est fortement recommandé aux organisations de mettre à niveau vers Cisco ASA 9.16.2.11 ou version ultérieure et Cisco FTD 6.6.7 ou version ultérieure.