AKIRA勒索软件针对芬兰组织

芬兰国家网络安全中心（NCSC-FI）报告称，Akira勒索软件攻击增加，针对该国的组织。威胁行为者正在清除NAS和备份设备。

Akira勒索软件感染首次于2023年6月在芬兰报道，但在12月份攻击数量增加。根据NCSC-FI的报告，七起感染事件中有六起是由Akira恶意软件家族引起的。其中三起在圣诞季长假期间被发现激活。此外，在圣诞节期间，还发生了一起由其他勒索软件恶意软件家族引起的事件。

NCSC-FI的警报中写道。“在所有案例中，攻击者都进行了仔细的努力来销毁备份，而且攻击者将很难做到这一点。经常用于网络备份的NAS（网络附加存储）服务器已经被黑客入侵并被清除，自动磁带备份设备也是如此，我们所知的几乎每个案例中，所有备份都已丢失。我们在2022年的第37周回顾中讨论了NAS设备和勒索软件。” 

2023年末报告的勒索软件攻击针对使用未安全配置的Cisco ASA或FTD设备的组织网络。攻击者利用了Adaptive Security Appliance（ASA）和Cisco Firepower Threat Defense（FTD）中的漏洞CVE-2023-20269。未经身份验证的远程攻击者可以利用该漏洞进行暴力破解攻击，以尝试识别有效的用户名和密码组合，或者授权的远程攻击者可以与未经授权的用户建立无客户端SSL VPN会话。2023年9月，思科解释称，勒索软件组织（如Akira勒索软件团伙）利用了这个零日漏洞来攻击组织。 

2023年8月底，思科透露已经知道了由Akira勒索软件威胁行为者进行的攻击，目标是未配置多因素身份验证的Cisco ASA VPN。思科与Rapid7合作调查了这次黑客活动。

Rapid7的研究人员注意到，针对Cisco ASA SSL VPN设备的威胁活动可以追溯到至少2023年3月。芬兰的研究人员指出，这种攻击无法绕过多步骤身份验证。他们还解释说，组织可以通过离线备份来防止备份被销毁。 

Akira勒索软件自2023年3月以来一直活跃，该恶意软件背后的威胁行为者声称已经成功黑客入侵了多个行业的多个组织，包括教育、金融和房地产。与其他勒索软件团伙一样，该团伙开发了一个Linux加密器来针对VMware ESXi服务器。“对于最重要的备份，建议遵循3-2-1规则。也就是说，在两个不同的位置至少保留三个备份，并将其中一个完全脱离网络。”警报总结道。

原文始发于微信公众号（黑猫安全）：AKIRA勒索软件针对芬兰组织