Especialistas del Centro Nacional de Ciberseguridad de Finlandia (NCSC-FI) informaron sobre un notable aumento en la actividad del ransomware Akira durante el mes de diciembre de 2023, dirigida a empresas dentro del país donde tomó notoriedad una función del ataque en el que, el ransomware, borró las copias de seguridad de todas sus victimas. Según lo informado, se registraron seis de los siete casos reportados sobre este tipo de ataques el mes pasado. El hecho de limpiar las copias de seguridad aumenta considerablemente el daño del incidente, ya que, elimina la opción de restaurar los datos sin pagar un rescate.
Existen organizaciones más pequeñas que suelen utilizar dispositivos de almacenamiento conectados a la red (NAS) para este fin, pero la agencia finlandesa confirmó que también fueron alcanzados por el ransomware Akira. Se supo también que los atacantes apuntaron a dispositivos de copia de seguridad en cinta, que normalmente se utilizaban como sistema secundario para almacenar copias digitales de sus datos.
«En todos los casos, se han hecho esfuerzos para destruir meticulosamente las copias de seguridad y, de hecho, el atacante hace todo lo posible para lograrlo», se lee en una versión traducida automáticamente de la notificación.
«Los dispositivos de almacenamiento conectado a la red (NAS), que se utilizan a menudo para realizar copias de seguridad han sido pirateados y vaciados, como así también, los dispositivos automáticos de copia de seguridad en cinta, y en casi todos los casos que conocemos, las copias de seguridad se perdieron», informa la agencia.
Violado a través de VPN de Cisco
Los investigadores aseguran que, mediante estos ataques, los ciberdelincuentes obtuvieron acceso a la red de las víctimas después de explotar CVE-2023-20269, una vulnerabilidad que afectaba la función VPN en los productos Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD).
La vulnerabilidad permite a los atacantes no autorizados, llevar a cabo ataques de fuerza bruta y encontrar las credenciales de usuarios existentes, donde no existe protección de inicio de sesión como la autenticación multifactor (MFA).
Cisco reconoció CVE-2023-20269 como día cero en septiembre de 2023 y se publicaron correcciones al mes siguiente, sin embargo, los investigadores informaron desde principios de agosto de 2023 que el ransomware Akira lo había estado aprovechando para acceder. En el análisis realizado, descubrieron que el ataque apunta a copias de seguridad y servidores críticos, robar nombres de usuario y contraseñas de servidores Windows, cifrar archivos importantes y cifrar discos de máquinas virtuales en servidores de virtualización, particularmente aquellos que utilizan productos VMware. Frente a este contexto el NCSC-FI sugiere que las organizaciones opten por utilizar copias de seguridad fuera de línea, distribuyéndolas en varias ubicaciones para protegerlas del acceso físico no autorizado. Por otro lado, y para los ataques que aprovechan esta vulnerabilidad, se recomienda encarecidamente a las organizaciones actualizar a Cisco ASA 9.16.2.11 o posterior y Cisco FTD 6.6.7 o posterior.
Fuente
Ciberprisma - alianza por la ciberseguridad 