Svenske tjenester forstyrret af ransomwareangreb

Akira udnyttede sårbarhed i Cisco Adaptive Security Appliance og Cisco Firepower Threat Defense.

Et ransomware-angreb i sidste uge mod den finske it-tjenesteudbyder Tietoevry har forstyrret svenske myndigheders og onlinebutikkers tjenester.

Det skriver Security Affairs.  

Tietoevry (tidligere TietoEnator) er en stort finsk IT- og konsulentfirma, der leverer administrerede tjenester og cloud-hosting til myndigheder og virksomheder.

Selve ransomwareangrebet fandt ifølge virksomheden selv sted natten mellem den 19. og 20. januar og ramte et datacenter i Sverige. Blandt ofrene var Sveriges største biografkæde Filmstadens online billetsystem og discountkæden Rusta. Angrebet påvirkede også løn- og HR-systemet Primula, som bruges af svenske offentlige myndigheder via Statens Servicecenter, der servicerer en lang række løsninger.

Det fremgår af Statens Servicecenters hjemmeside, at Tietoevry kan ikke give et estimat af gendannelsesprocessen, andet end at varigheden kan strække sig over flere dage, muligvis uger.

Akira brugte kendt, udnyttet sårbarhed

Angrebet kommer efter at det finske cybersikkerhedscenter - Finish National Cybersecurity Center (NCSC-FI) - rapporterede om en stigning i Akira ransomware-angreb rettet mod organisationer i Finland.

Akira ransomware blev første gang rapporteret i Finland i juni 2023, men i december steg antallet af angreb. Ifølge NCSC-FI var seks ud af syv infektioner forårsaget af Akiras malware.

Angiveligt har de seneste angreb været rettet mod organisationers netværk ved hjælp af dårligt sikret VPN-gateway på Cisco ASA- eller FTD-enheder. Security Affairs skriver, at angriberne udnyttede sårbarheden CVE-2023-20269 i Adaptive Security Appliance (ASA) og Cisco Firepower Threat Defense (FTD). Det er en sårbarhed, der kan udnyttes af en uautoriseret fjernangriber til at udføre et brute force-angreb i et forsøg på at identificere gyldige brugernavne og kombinere dem med adgangskoder. En autentificeret fjernangriber kan også bruge sårbarheden til at etablere en klientløs SSL VPN-session med en uautoriseret bruger.

Akira ransomware har været aktiv siden marts 2023, og trusselsaktørerne bag malwaren hævder at have hacket flere organisationer i flere brancher, herunder uddannelses-, finans og ejendomssektoren. 

Links:

https://securityaffairs.com/158031/cyber-crime/tietoevry-akira-ransomware-attack.html

https://www.statenssc.se/nyheter/nyhetsarkiv/2024-01-21-cyberattack-paverkar-tietoevrys-tjanster-till-ett-antal-kunder-i-sverige

https://securityaffairs.com/157371/breaking-news/akira-ransomware-targets-finnish-organizations.html

https://cert.dk/da/news/2024-01-24/Saarbarhed-i-Cisco-ASA-under-udnyttelse