هشدار آژانس فنلاندی درباره باج افزار Akira
به گزارش رسانه مدیاتی، مرکز امنیت سایبری ملی Finish (NCSC-FI) از افزایش فعالیت باجافزار Akira در ماه دسامبر، هدف قرار دادن شرکتها در کشور و پاک کردن نسخههای پشتیبان خبر میدهد. فنلاند درباره باجافزار Akira هشدار داد که NAS و دستگاههای پشتیبان نوار را پاک میکند. این آژانس میگوید که شش مورد از هفت مورد باجافزاری گزارششده در ماه گذشته، مربوط به حملات این باجافزار بوده است. پاک کردن پشتیبانها آسیب حمله را تشدید میکند و به عامل تهدید اجازه میدهد تا فشار بیشتری را بر قربانی وارد کند.
سازمانهای کوچکتر اغلب از دستگاههای ذخیرهسازی متصل به شبکه (NAS) برای این منظور استفاده میکنند، اما آژانس فنلاندی تاکید میکند که این سیستمها در حملات باجافزار Akira در امان نبودهاند. مهاجمان همچنین دستگاههای پشتیبان نوار را هدف قرار دادند که معمولاً به عنوان یک سیستم ثانویه برای ذخیره کپیهای دیجیتالی دادهها استفاده میشوند.
در نسخهای از این اعلان که به صورت ماشینی ترجمه شده است، آمده است: «در همه موارد، تلاشهایی برای از بین بردن دقیق پشتیبانها انجام شده است و مهاجم برای این کار تمام تلاش خود را میکند». این آژانس میگوید: «دستگاههای ذخیرهسازی متصل به شبکه (NAS) که اغلب برای پشتیبانگیری استفاده میشوند، شکسته و خالی شدهاند و همچنین دستگاههای پشتیبان نوار خودکار و تقریباً همه نسخههای پشتیبان از بین رفتهاند.»
بیشتر بخوانید: تاثیر هدرهای امنیتی در رتبهبندی گوگل، درست یا غلط؟
شرکت NCSC-FI پیشنهاد میکند که سازمانها به جای آن، از پشتیبانگیری آفلاین استفاده کنند و نسخهها را در مکانهای مختلف پخش کنند تا از دسترسی فیزیکی غیرمجاز محافظت کنند. برای مهمترین نسخههای پشتیبان، توصیه میشود از قانون 3-2-1 پیروی کنید. یعنی حداقل سه نسخه پشتیبان را در دو مکان مختلف نگه دارید و یکی از این کپیها را کاملاً خارج از شبکه نگه دارید.
آژانس فنلاندی میگوید که حملات باجافزار Akira پس از بهرهبرداری از CVE-2023-20269، آسیبپذیری که بر ویژگی VPN در Cisco Appliance Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) تأثیر میگذارد، به شبکه قربانیان دسترسی پیدا کرده است.
این آسیبپذیری به مهاجمان غیرمجاز اجازه میدهد تا حملات brute force را انجام دهند و اعتبار کاربران موجود را بیابند، جایی که هیچ حفاظتی مانند احراز هویت چند عاملی (MFA)، در قبال ورود به سیستم وجود ندارد.
CVE-2023-20269 توسط سیسکو به عنوان یک روز صفر (zero-day) در سپتامبر 2023 تأیید شد و در ماه بعد هم این مشکل برطرف شد. حمله روز صفر، یک حمله یا تهدید رایانهای است که از یک آسیبپذیری در یک نرمافزار کاربردی که تا پیش از آن ناشناخته بوده است، بهرهجویی میکند. این بدان معناست که توسعهدهندگان برای رفع آسیبپذیری صفر روز فرصت داشتهاند. پیش از آنکه توسعهدهندهٔ نرمافزار هدف، از آسیبپذیری آگاهی یابد، اکسپلویت صفرروزه (نرمافزاری که از یک حفرهٔ امنیتی برای اعمال یک حمله استفاده میکند) توسط حملهکنندگان استفاده یا به اشتراک گذاشته میشود. با این حال، محققان امنیتی از اوایل آگوست 2023 گزارش دادند که باجافزار Akira از آن برای دسترسی غیرمجاز استفاده کرده است.
در آخر، برای جلوگیری از حملاتی که از این آسیبپذیری سوء استفاده میکنند، به سازمانها اکیداً توصیه میشود که به Cisco ASA 9.16.2.11 یا بالاتر و Cisco FTD 6.6.7 یا جدیدتر ارتقا دهند.