Finish National Cybersecurity Center (NCSC-FI) หรือหน่วยงานความปลอดภัยทางไซเบอร์ของฟินแลนด์ แจ้งเตือนการพบการโจมตีที่เพิ่มขึ้นของกลุ่ม Akira ransomware ที่เพิ่มขึ้นในเดือนธันวาคม 2023 โดยกำหนดเป้าหมายการโจมตีไปยังบริษัทในประเทศเพื่อลบข้อมูลบนอุปกรณ์ NAS และ Tape Backup
ทั้งนี้ NCSC-FI ระบุว่ากลุ่ม Akira ransomware อยู่เบื้องหลังการโจมตีของ ransomware มากถึง 6 ใน 7 เหตุการณ์ที่พบในเดือนธันวาคม 2023 โดยการลบข้อมูลเป็นการเพิ่มความรุนแรงของความเสียหายของการโจมตี และทำให้ Hacker สามารถสร้างความกดดันให้แก่เป้าหมาย เนื่องจากไม่สามารถทำการกู้คืนข้อมูลที่ถูกโจมตีได้
NCSC-FI ระบุเพิ่มเติมว่าองค์กรขนาดเล็กส่วนใหญ่จะใช้ Network-Attached Storage (NAS) เพื่อสำรองข้อมูล จึงทำให้ตกเป็นเป้าหมายการโจมตีของกลุ่ม Akira ransomware รวมถึง Tape Backup ที่ใช้ในการสำรองสำเนาข้อมูลดิจิทัลอีกชั้นนึง
ทั้งนี้ NCSC-FI ได้แนะนำให้องค์กรต่าง ๆ เปลี่ยนไปใช้การสำรองข้อมูลแบบออฟไลน์แทน โดยกระจายสำเนาข้อมูลไปยังสถานที่ต่าง ๆ เพื่อปกป้องการเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต
โดยหลักการสำรองข้อมูลที่มีประสิทธิภาพที่สุด แนะนำให้ปฏิบัติตามกฎ 3-2-1 นั่นคือเก็บข้อมูลสำรองอย่างน้อยสามชุดไว้ในตำแหน่งที่แตกต่างกันสองแห่ง และเก็บสำเนาชุดใดชุดหนึ่งไว้นอกเครือข่าย (Offline)
การโจมตีผ่าน Cisco VPN
NCSC-FI ระบุว่าการโจมตีของ Akira ransomware เข้าถึงเครือข่ายของเป้าหมายผ่านทางของโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ที่ส่งผลกระทบต่อฟีเจอร์ VPN ในผลิตภัณฑ์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) ซึ่งทำให้ Hacker สามารถโจมตีแบบ bruteforce และค้นหาข้อมูล credentials ของผู้ใช้ที่มีอยู่ โดยที่ไม่มีการเปิดการป้องกันการเข้าสู่ระบบ เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)
CVE-2023-20269 ถูกประกาศเป็น Zero-day ในเดือนกันยายน 2023 และการแก้ไขช่องโหว่ต่าง ๆ ได้รับการเผยแพร่ในเดือนถัดไป อย่างไรก็ตามนักวิจัยด้านความปลอดภัยรายงานตั้งแต่ต้นเดือนสิงหาคม 2023 ว่า Akira ransomware ได้ใช้ Zero-day ดังกล่าวเพื่อเข้าถึงเครือข่ายของเป้าหมาย
หลังจากเข้าถึงเครือข่ายของเป้าหมายได้แล้ว นักวิจัยได้พบเห็นการทำ mapping network, การกำหนดเป้าหมายการโจมตีไปยังอุปกรณ์สำรองข้อมูล และเซิร์ฟเวอร์ที่สำคัญ, การขโมยชื่อผู้ใช้ และรหัสผ่านจากเซิร์ฟเวอร์ Windows, การเข้ารหัสไฟล์สำคัญ และการเข้ารหัสดิสก์ของ virtual machines ใน virtualization servers โดยเฉพาะที่ใช้ผลิตภัณฑ์ VMware ซึ่งนักวิจัยได้แนะนำให้ผู้ดูแลระบบทำการอัปเดตเป็น Cisco ASA 9.16.2.11 หรือใหม่กว่า และ Cisco FTD 6.6.7 หรือใหม่กว่า เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว
ที่มา : bleepingcomputer
You must be logged in to post a comment.