En plus de chiffrer les données des serveurs, le ransomware Akira efface les données des NAS !
D'après l'agence finlandaise spécialisée dans la cybersécurité, le ransomware Akira est particulièrement actif depuis décembre 2023. Plusieurs organisations situées en Finlande en ont déjà fait les frais... Voici ce que l'on sait sur ces cyberattaques.
L'agence NCSC-FI de Finlande (National Cyber Security Centre Finland) a mis en ligne un nouveau rapport pour avertir les organisations d'une recrudescence de l'activité du ransomware Akira depuis la fin de l'année 2023. En Finlande, ce ransomware est à l'origine de 6 des 7 cyberattaques par ransomware orchestrées en décembre 2023.
Le vecteur d'attaque initial utilisé lors des cyberattaques est clairement identifié : il s'agit de la faille de sécurité CVE-2023-20269 présente dans la fonction VPN de certains produits Cisco, notamment Cisco ASA et Cisco Firepower Threat Defense (FTD). Cette vulnérabilité a été dévoilée en septembre 2023 en tant que faille de sécurité zero-day, et elle a été corrigée au moins d'octobre.
Lors de ces attaques, à chaque fois, les cybercriminels sont parvenus à chiffrer les données avec leur ransomware Akira, mais ont également eu à cœur de supprimer les sauvegardes. En effet, dans le cadre de ces attaques, les pirates sont parvenus à compromettre et à effacer les données stockées sur les NAS des organisations. Ce n'est pas tout, puisqu'ils ont également cherché à s'attaquer aux dispositifs de sauvegarde sur bande (ce qui implique qu'il soit en ligne).
"Les serveurs NAS qui sont souvent utilisés pour les sauvegardes sur le réseau ont été piratés et effacés, tout comme les périphériques de sauvegarde automatique sur bande, et dans presque tous les cas que nous connaissons, toutes les sauvegardes ont été perdues.", précise le rapport. Lorsque les données sont chiffrées et les sauvegardes effacées, les organisations se retrouvent en difficulté ! Pour les cybercriminels, c'est un moyen de pression pour pousser la victime à payer la rançon.
Au même titre que le fait le NCSC-FI dans son rapport, cette campagne d'attaques est l'occasion de rappeler l'importance d'avoir des sauvegardes hors ligne et protégées contre tout accès physique non autorisé. Par ailleurs, si vous utilisez des produits Cisco ASA ou Cisco FTD, assurez-vous d'utiliser Cisco ASA 9.16.2.11 (ou une version ultérieure) et Cisco FTD 6.6.7 (ou une version ultérieure).
– Comment peut on laisser en ligne des sauvegardes ?
– Le ransomware accède généralement aux environnements des victimes à l’aide d’informations d’identification valides. Les acteurs peuvent collecter des informations auprès de leurs partenaires ou via d’autres attaques. Ils utilisent des outils tiers tels que PCHunter, AdFind, PowerTool, Terminator, Advanced IP Scanner, Windows Remote Desktop Protocol (RDP), AnyDesk, Radmin, WinRAR et l’outil de tunneling de Cloudflare.
– En juin 2023, trois mois seulement après la découverte, Akira a élargi la liste des systèmes ciblés pour inclure les ordinateurs Linux.
Ça promet…