هشدار آژانس فنلاندی درباره باج افزار Akira

هشدار آژانس فنلاندی درباره باج افزار Akira

به گزارش رسانه مدیاتی، مرکز امنیت سایبری ملی Finish (NCSC-FI) از افزایش فعالیت باج‌افزار Akira در ماه دسامبر، هدف قرار دادن شرکت‌ها در کشور و پاک کردن نسخه‌های پشتیبان خبر می‌دهد. فنلاند درباره باج‌افزار Akira هشدار داد که NAS و دستگاه‌های پشتیبان نوار را پاک می‌کند. این آژانس می‌گوید که شش مورد از هفت مورد باج‌افزاری گزارش‌شده در ماه گذشته، مربوط به حملات این باج‌افزار بوده است. پاک کردن پشتیبان‌ها آسیب حمله را تشدید می‌کند و به عامل تهدید اجازه می‌دهد تا فشار بیشتری را بر قربانی وارد کند.

سازمان‌های کوچک‌تر اغلب از دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) برای این منظور استفاده می‌کنند، اما آژانس فنلاندی تاکید می‌کند که این سیستم‌ها در حملات باج‌افزار Akira در امان نبوده‌اند. مهاجمان همچنین دستگاه‌های پشتیبان نوار را هدف قرار دادند که معمولاً به عنوان یک سیستم ثانویه برای ذخیره کپی‌های دیجیتالی داده‌ها استفاده می‌شوند.

در نسخه‌ای از این اعلان که به صورت ماشینی ترجمه شده است، آمده است: «در همه موارد، تلاش‌هایی برای از بین بردن دقیق پشتیبان‌ها انجام شده است و مهاجم برای این کار تمام تلاش خود را می‌کند». این آژانس می‌گوید: «دستگاه‌های ذخیره‌سازی متصل به شبکه (NAS) که اغلب برای پشتیبان‌گیری استفاده می‌شوند، شکسته و خالی شده‌اند و همچنین دستگاه‌های پشتیبان نوار خودکار و تقریباً همه نسخه‌های پشتیبان از بین رفته‌اند.»

بیشتر بخوانید: تاثیر هدرهای امنیتی در رتبه‌بندی گوگل، درست یا غلط؟

شرکت NCSC-FI پیشنهاد می‌کند که سازمان‌ها به جای آن، از پشتیبان‌گیری آفلاین استفاده کنند و نسخه‌ها را در مکان‌های مختلف پخش کنند تا از دسترسی فیزیکی غیرمجاز محافظت کنند. برای مهم‌ترین نسخه‌های پشتیبان، توصیه می‌شود از قانون 3-2-1 پیروی کنید. یعنی حداقل سه نسخه پشتیبان را در دو مکان مختلف نگه دارید و یکی از این کپی‌ها را کاملاً خارج از شبکه نگه دارید.

آژانس فنلاندی می‌گوید که حملات باج‌افزار Akira پس از بهره‌برداری از CVE-2023-20269، آسیب‌پذیری که بر ویژگی VPN در Cisco Appliance Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) تأثیر می‌گذارد، به شبکه قربانیان دسترسی پیدا کرده است.

این آسیب‌پذیری به مهاجمان غیرمجاز اجازه می‌دهد تا حملات brute force را انجام دهند و اعتبار کاربران موجود را بیابند، جایی که هیچ حفاظتی مانند احراز هویت چند عاملی (MFA)، در قبال ورود به سیستم وجود ندارد.

CVE-2023-20269 توسط سیسکو به عنوان یک روز صفر (zero-day) در سپتامبر 2023 تأیید شد و در ماه بعد هم این مشکل برطرف شد. حمله روز صفر، یک حمله یا تهدید رایانه‌ای است که از یک آسیب‌پذیری در یک نرم‌افزار کاربردی که تا پیش از آن ناشناخته بوده‌ است، بهره‌جویی می‌کند. این بدان معناست که توسعه‌دهندگان برای رفع آسیب‌پذیری صفر روز فرصت داشته‌اند. پیش از آنکه توسعه‌دهندهٔ نرم‌افزار هدف، از آسیب‌پذیری آگاهی یابد، اکسپلویت صفرروزه (نرم‌افزاری که از یک حفرهٔ امنیتی برای اعمال یک حمله استفاده می‌کند) توسط حمله‌کنندگان استفاده یا به اشتراک گذاشته می‌شود. با این حال، محققان امنیتی از اوایل آگوست 2023 گزارش دادند که باج‌افزار Akira از آن برای دسترسی غیرمجاز استفاده کرده است.

در آخر، برای جلوگیری از حملاتی که از این آسیب‌پذیری سوء استفاده می‌کنند، به سازمان‌ها اکیداً توصیه می‌شود که به Cisco ASA 9.16.2.11 یا بالاتر و Cisco FTD 6.6.7 یا جدیدتر ارتقا دهند.