Поделиться
Троян парализовал работу шведских компаний и даже целых городов
Датацентр, принадлежащий финскому поставщику ИТ-услуг, атакован шифровальщиком Akira. В результате целый ряд крупных шведских организаций вынуждены справляться с последствиями.
Одна часть одного дата-центра
Шифровальщик Akira вызвал масштабный сбой в функционировании ряда крупных шведских организаций, коммерческих и муниципальных. Как выяснилось, атакована была финская фирма Tietoevry, специализирующаяся на предоставлении ИТ-услуг и облачного хостинга. Непосредственно атаке подвергся дата-центр, расположенный в Швеции и обслуживающий клиентов внутри страны.
Tietoevry - крупная компания, насчитывающая 24 тыс. работников по всему миру. В 2023 году ее доход составил $3,1 млрд.
Инфраструктура компании подверглась атаке в ночь с 19 января на 20 января и, по утверждению Tietoevry, «затронула лишь часть одного из наших дата-центров в Швеции, сказавшись на услугах, предоставляемых некоторым из наших шведских клиентов».
Как выяснили журналисты издания Bleeping Computer, этот конкретный центр обработки данных (ЦОД) использовался для предоставления облачных ресурсов крупным корпоративным клиентам.
К настоящему времени известно, что пострадала крупная сеть кинотеатров Filmstaden, лишившаяся возможности продавать билеты онлайн. Атака также затронула сеть дискаунтеров Rusta, поставщика необработанных материалов Moelven и сеть магазинов сельскохозяйственного оборудования Grangnården. Последней пришлось закрыть все магазины до тех пор, пока не будут восстановлены ее ИТ-системы.
Сверх этого пострадала управляемая система расчета заработной платы и управления персоналом Primula, которой пользуются правительственные организации, университеты и колледжи Швеции. С проблемами столкнулись университеты Стокгольма, Лундса и Мальмё, а также ряд государственных и муниципальных учреждений в нескольких регионах страны.
Серьезнее всего дело обстоит в округе Уппсала, где сбой затронул также систему хранения медицинских данных граждан.
Опробованные методики
В Tietoevry заверяют, что делают все для скорейшего восстановления работоспособности своих систем «в соответствии с опробованной методологией». Сроков, впрочем, в компании не назвали.
Шифровальщик Akira появился весной 2023 г. Его операторы атакуют корпоративные и государственные организации, действуя уже по стандартной практике: шифруют и крадут данные, после чего требуют двойной выкуп, угрожая в противном случае опубликовать украденное. В октябре прошлого года фирма Sophos отметила, что в течение непродолжительного времени операторы Akira не использовали шифровальщик вовсе, ограничиваясь лишь кражей данных и вымогательством средств за их возвращение.
Впрочем, затем они наоборот резко активизировались.
Атаки начинаются, как правило, с компрометации слабо защищенных VPN-продуктов Cisco (Cisco ASA SSL VPN или Cisco AnyConnect), где отсутствовала многофакторная авторизация. Использовалась также как минимум одна уязвимость в Cisco ASA - CVE-2023-20269 - для получения несанкционированного доступа к VPN-сессии внутри инфраструктуры жертвы.
В дальнейшем злоумышленники использовали разные методы для получения реквизитов доступа к ресурсам внутри инфраструктуры жертвы - производили минидамп LSASS, копировали куст реестра SYSTEM и файл NTDS.dit с контроллера домена организации, с помощью инструмента ntdsutil пытались создавать автономный образ базы данных Active Directory и т.д.
Как признают эксперты по информационной безопасности, шифровальщик Akira менее чем за год стал весьма заметен в общем ландшафте угроз.
«Создатели Akira очень активны; по-видимому, довольно разборчивы в мишенях и действуют на высоком профессиональном уровне», - говорит директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, эту квалификацию и энергию да в мирных бы целях. «Ответственность за их успехи отчасти лежит и на жертвах, поскольку пренебрегать многофакторной аутентификацией не стоит нигде никогда. Но это не отменяет того факта, что в первую очередь операторы Akira являются киберпреступниками», - подытожила Анастасия Мельникова.
Национальный центр по кибербезопасности Финляндии в начале этого года сообщил, что операторы Akira заметно активизировали атаки именно на финские организации. На протяжении 2023 года были отмечены 12 таких атак, большинство - в самом конце года.
Короткая ссылка
