ITsäkerhet

Ryska cybergruppen Akira och deras metoder vid cyberattacken som var riktat mot Tietoevrys datacenter

Artikel vad som hänt, cybergruppen Akira som står bakom attacken och hur deras attacker brukar utföras, vilka företag som är drabbade, åtgärder som behöver göras och hur man kan skydda sig.

Det svenska datacentret som tillhör IT-tjänstföretaget Tietoevry var måltavla för en omfattande cyberattack som skedde under natten mellan fredag och lördag den 19:e och 20e januari. Flera svenska företag och organisationer upplever störningar på varierande nivåer. Enligt en artikel i SvD ligger den ryska ransomware-gruppen Akira bakom cyberattacken enligt deras webbsite på Darknet.

Flertalet företag, däribland Rusta, Moelven, Granngården, Stadium, Region Uppsala och Systembolaget har också rapporterats vara påverkade av cyberintrånget. På söndagen gick det inte att nå Rusta. Detta har resulterat i att biografkedjan Filmstaden (biografkedjan Svenska Bios och Cinemascenen är påverkad) har problem och kunde varken sälja biljetter från sajten eller appen eller snacks och kioskvaror i biograflokalerna. Filmstaden lyckades senare implementera en tillfällig lösning som tillät betalning på plats genom Swish. För Rustas del ledde attacken till att e-handeln avbröts, medan Granngården var tvungen att hålla samtliga butiker stängda då deras kassasystem var ur funktion.

Även myndigheter har blivit drabbade som Sveriges Riksdag, I Region Blekinge har personuppgifter om patienter läckts, och Region Västerbotten har gått upp i stabsläge efter att ha blivit hackade enligt Aftonbladet.

Är fler företag drabbade?

Akira ransomware-gruppen har visat sig vara stort hot mot små och medelstora företag, särskilt i Europa, Nordamerika och Australien. Gruppen har framför allt riktat in sig på offentliga sektorn. Sedan oktober har Akira-gänget enbart utfört utpressningsoperationer (extortion only operations). I dessa attacker stjäls data från offrens miljöer utan att sprida ransomware och kryptera system och data.

Det är inte helt tydligt hur omfattande lördagens cyberattack mot IT-tjänstföretaget Tietoevry faktiskt är. Det spekuleras att det kan finnas flera företag, kommuner och regioner också påverkats. Primula är ett HR- och lönesystem som används av många myndigheter, högskolor och universitet ligger också nere. Universitet och högskolor i landet som använder systemet är Karolinska Institutet och SLU, Högskolan Väst, Stockholms universitet, Lunds universitet och Malmö universitet. Andra myndigheter som är drabbade är Vellinge kommun, Bjuvs kommun och Uppsala län. Läs mer.

Statens servicecenter skriver på sin webbplats att de har reservrutiner när IT-systemen fallerar. Lönefilerna är skickade till bankerna sedan tidigare och januarilönen kommer att utbetalas. Andra som verkar ha haft datastrul senaste veckan är Kronans Apotek, Lekia, Apoteket, och Polisen men det behöver inte vara relaterat till denna incidenten.

Tietoevrys kommunikation kring incidenten

Enligt en pressrelease från företaget självt har ett av Tietoevrys flera datacenter i Sverige delvis drabbats av en ransomware-attack. Händelsen påverkar tjänsterna till en del av Tietoevrys kunder i Sverige i olika grad. Tietoevry har omedelbart vidtagit de mest omfattande åtgärderna för att undersöka, begränsa och lösa situationen. För närvarande är det inte möjligt att uppskatta hur lång tid arbetet kommer att ta.

Tietoevry drabbades 2021 av en ransomware-attack som tvingade dem att koppla från klienters tjänster.

Hur brukar attackerna från Akira gå till?

Akira ransomware-gruppen har visat sig vara ett betydande hot mot små och medelstora företag, särskilt i Europa, Nordamerika och Australien. Gruppen har framför allt riktat in sig på offentliga sektorn. Den här artikeln utforskar Akira-gruppens förändrade taktik och hur organisationer kan skydda sig.

Enligt forskning från Sophos X-Ops tar Akira ofta sig in i system genom att få obehörig tillgång till målorganisationens VPN:er, vanligtvis genom en hackad inloggning som ett användarnamn/lösenordskombination. Gruppen utnyttjar också sårbarheter i VPN-programvara som Cisco ASA SSL VPN eller Cisco AnyConnect.

När en slutpunkt är komprometterad använder Akira-gruppen flera metoder för att erhålla de nödvändiga referenserna för att röra sig lateralt inom organisationen och främja sina mål. Dessa inkluderar att utföra en mini-dump av LSASS-processens minne (som lagrar vissa referenser efter att en användare loggar in på något) att erhålla referenser som lagras i Active Directory-databasen och att utnyttja kända sårbarheter i säkerhetskopieringsprogramvara.

Akira har använt olika verktyg och metoder i de systemen som drabbas. Dessa inkluderar fjärrskrivbordsprotokoll (RDP), SMB (Server Message Block, som är ett nätverkskommunikationsprotokoll) och Impacket-modulen wmiexec (som är en fjärrkommandotolk). Gruppen använder också ett tjänsthanteringsverktyg som kallas nssm.exe för att skapa skadliga tjänster och få tillgång till fjärråtkomst. De använder ofta AnyDesk för att få fjärråtkomst till flera system inom nätverket.

Sedan oktober har Akira-gänget utfört enbart utpressningsoperationer. I dessa attacker stjäls data från offrens miljöer utan att distribuera ransomware och kryptera system och data. Detta markerar en betydande förändring i Akira-gruppens attackmetoder och hur organisationer måste försvara sina system och data.

Hur kan man skydda sig?

För att försvara sig mot Akiras nya attacker, liksom de flesta ransomware-attacker bör organisationer ha kontroll över identitets- och åtkomsthantering och stärka åtkomstkontrollen genom flerfaktorsautentisering. Implementering av multifaktorsautentiering kan avsevärt minska risken för obehörig åtkomst.

Se till att referenser i Active directory lagras säkert och regelbundet uppdateras och att säkerhetskopieringstjänster också är säkrade.

Akira är känd för att utnyttja kända sårbarheter i VPN-programvara. Regelbunden patchning och uppdatering av programvara kan hjälpa till att förhindra sådana exploits.

Övervakning av stora datatransfereringar och ovanlig nätverksaktivitet kan hjälpa till att upptäcka och förhindra dataexfiltrering.

Kolla upp aktivitet med AnyDesk som ofta används för fjärråtkomst och säkra fjärrskrivbordsprotokoll (RDP).

Cyberattacker och datacenters

Datacenter är centrala knutpunkter för IT-infrastruktur och lagrar ofta stora mängder känslig data. De är därför attraktiva mål för ransomware-gäng. Datacenter hanterar också ofta infrastruktur för många olika klienter, vilket kan öka effekten av en ransomware-attack, då en enda lyckad infiltration potentiellt kan ge angriparna tillgång till flera klienters system och data.

Precis som med it-leverantöer som levererar MSP (Managed Service Provider) kan angripare som lyckas infiltrera ett datacenter använda det som en språngbräda för att sprida ransomware till klienternas system och nätverk. Det är därför av yttersta vikt för datacenter att ha starka säkerhetsåtgärder på plats, inklusive regelbundna säkerhetsgranskningar, avancerad intrångsdetektering och -hantering samt omfattande backup- och återställningsplaner.

Exit mobile version