Finlandiya Ulusal Siber Güvenlik Merkezi (NCSC-FI), Aralık ayında ülkedeki şirketleri hedef alan ve yedekleri silen Akira fidye yazılımı faaliyetlerinin arttığını bildiriyor.
Ajans, tehdit aktörünün saldırılarının geçen ay bildirilen yedi fidye yazılımı vakasından altısını oluşturduğunu söylüyor.
Yedeklemelerin silinmesi, saldırının zararını artırır ve fidye ödemeden verileri geri yükleme seçeneğini ortadan kaldırarak tehdit aktörünün kurban üzerinde daha fazla baskı oluşturmasına olanak tanır.
Küçük kuruluşlar genellikle bu amaçla ağa bağlı depolama (NAS) cihazlarını kullanıyor ancak Finlandiya kurumu, bu sistemlerin Akira fidye yazılımı saldırılarından korunmadığının altını çiziyor.
Saldırganlar ayrıca, genellikle verilerin dijital kopyalarını depolamak için ikincil bir sistem olarak kullanılan teyp yedekleme cihazlarını da hedef aldı.
Bildirimin makine tarafından çevrilmiş bir versiyonunda, “Her durumda, yedekleri titizlikle yok etmek için çaba gösterildi ve saldırgan gerçekten de bunun için büyük çaba harcıyor” diyor.
Ajans, “Yedeklemeler için sıklıkla kullanılan Ağa Bağlı Depolama (NAS) aygıtlarının yanı sıra otomatik teyp yedekleme aygıtlarına da girildi ve boşaltıldı ve bildiğimiz hemen hemen tüm durumlarda, tüm yedeklemeler kaybedildi” diye bilgilendiriyor.
NCSC-FI, kuruluşların bunun yerine çevrimdışı yedeklemeleri kullanmaya geçmelerini, kopyaları yetkisiz fiziksel erişimden korumak için çeşitli konumlara yaymalarını öneriyor.
“En önemli yedeklemeler için 3-2-1 kuralına uyulması tavsiye edilir. Yani en az üç yedeği iki farklı lokasyonda tutun ve bu kopyalardan birini tamamen ağ dışında tutun.” – Olli Hönö, NCSC-FI
Cisco VPN’ler aracılığıyla ihlal edildi
Finlandiya kurumu, Akira fidye yazılımı saldırılarının, Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) ürünlerindeki VPN özelliğini etkileyen bir güvenlik açığı olan CVE-2023-20269’u kullandıktan sonra kurbanların ağına erişim sağladığını söyledi.
Güvenlik açığı, yetkisiz saldırganların kaba kuvvet saldırıları gerçekleştirmesine ve çok faktörlü kimlik doğrulama (MFA) gibi oturum açma korumasının olmadığı durumlarda mevcut kullanıcıların kimlik bilgilerini bulmasına olanak tanır.
CVE-2023-20269, Cisco tarafından Eylül 2023’te sıfır gün olarak kabul edildi ve düzeltmeler bir sonraki ay yayınlandı. Ancak güvenlik araştırmacıları, Ağustos 2023’ün başlarından bu yana Akira fidye yazılımının erişim için bu yazılımdan yararlandığını bildirdi.
Gözlenen güvenlik ihlali sonrası faaliyetler arasında ağın haritalanması, yedeklerin ve kritik sunucuların hedeflenmesi, Windows sunucularından kullanıcı adları ve parolaların çalınması, önemli dosyaların şifrelenmesi ve özellikle VMware ürünleri kullananlar olmak üzere sanallaştırma sunucularındaki sanal makinelerin disklerinin şifrelenmesi yer alıyor.
Bu güvenlik açığından yararlanan saldırılardan kaçınmak için kuruluşların Cisco ASA 9.16.2.11 veya üzeri ile Cisco FTD 6.6.7 veya üzeri sürümlere yükseltmeleri önemle tavsiye edilir.