Спецпроекты

Безопасность

Шифровальщик Akira целенаправленно атакует резервные копии данных

В Финляндии отмечена активизация шифровальщика Akira, который прицельно стремится не только зашифровать всё, что сможет, но и уничтожить все данные в резервных хранилищах. Для проникновения используется прошлогодняя уязвимость в аппаратах Cisco.

Убийца резервов

Национальный центр по кибербезопасности Финляндии (National Cyber Security Centre — Finland или NCSC-FI) объявил о росте активности шифровальщика Akira, который целенаправленно уничтожает резервные копии в NAS-накопителях (сетевые системы хранения или network-attached storage) и пытается ликвидировать копии на ленточных накопителях.

Из семи зарегистрированных в декабре прошлого года атак шифровальщиков шесть были совершены с использованием Akira.

Уничтожение резервных копий кратно повышает степень урона, наносимого шифровальщиком, поскольку лишает жертву возможности восстановить данные без выплаты выкупа.

Финские организации пострадали от кибератак с помощью шифровальщика Akira

Небольшие организации часто используют сетевые накопители (NAS) для хранения резервных копий, но, как подчеркивается в публикации Национального центра по кибербезопасности Финляндии, Akira целенаправленно атакует и NAS, и даже ленточные накопители, которые иногда используются в качестве вторичного резервного хранилища.

С задачей уничтожения резервных копий вредонос справляется весьма успешно. Операторы приложили значительные усилия к тому, чтобы не оставить жертвам возможности восстановить данные.

Правило 3-2-1

Эксперты NCSC-FI рекомендуют применять правило 3-2-1 при резервировании наиболее значимых данных: хранить запасные копии в двух разных местах, причем одно из них должно быть оффлайновым «холодным» хранилищем.

«Под холодными подразумеваются резервные накопители, которые не подключены к сети постоянно и даже физически изолированы; они используются только для пассивного хранения данных», - сказал эксперт по информационной безопасности компании SEQ Михаил Зайцев. По его словам, шифровальщик - это программа; для ее выполнения требуются вычислительные ресурсы, которых у «холодного» хранилища данных нет по определению, поэтому шифровальщик, даже если он попадет внутрь, не сможет ничего удалить. «Он просто не запустится. Другое дело, что при извлечении копии данных шифровальщик может все-таки начать действовать, но если это уже не первая встреча с ним, то нейтрализовать опасный файл будет куда легче», - подытожил Михаил Зайцев.

Эксперты NCSC-FI указывают также, что Akira проникал в системы жертв, судя по всему, через уязвимость CVE-2023-20269, выявленную в защитных устройствах Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD).

Данная уязвимость позволяет осуществлять брутфорс-атаки (последовательный перебор пароля или ключа шифрования) на целевые устройства и извлекать реквизиты доступа - при условии, что многофакторная авторизация отсутствует.

Эксплуатация этой уязвимости началась еще до ее обнаружения в сентябре 2023 г. Вендор выпустил необходимые обновления в октябре. Операторы Akira начали задействовать эту уязвимость уже в августе.

Операторы шифровальщика, по-видимому, осуществляли масштабную разведку сетевых ресурсов, определяли критические серверы и хранилища данных, старались выкрасть логины и пароли к серверам под управлением Windows и т.д.

Akira шифрует любые значимые файлы, в том числе на дисках виртуальных машинах, в первую очередь, под управлением VMware.

Организациям, использующим упомянутые решения, рекомендуется установить обновления ASA 9.16.2.11 и FTD 6.6.7 или более новые, устраняющие основную уязвимость.

Роман Георгиев

Короткая ссылка