芬蘭IT服務(wù)和企業(yè)云托管供應(yīng)商Tietoevry遭受勒索軟件攻擊，該攻擊嚴重影響了其在瑞典的一個數(shù)據(jù)中心的云托管客戶。據(jù)報道這次攻擊是由Akira勒索軟件團伙發(fā)起的。

Tietoevry是一家芬蘭IT服務(wù)公司，為企業(yè)提供托管服務(wù)和云托管。該公司在全球雇用了約24,000名員工，2023年的收入為31億美元。Tietoevry確認，勒索軟件攻擊發(fā)生在周五晚上到周六早上，并且只影響了其在瑞典的一個數(shù)據(jù)中心。

Tietoevry在新聞聲明中解釋：“這次攻擊僅限于我們?nèi)鸬鋽?shù)據(jù)中心的一部分，影響了Tietoevry對瑞典部分客戶的服務(wù)。Tietoevry立即隔離了受影響的平臺，勒索軟件攻擊并未影響公司基礎(chǔ)設(shè)施的其他部分。”

Tietoevry公司表示，正在恢復(fù)基礎(chǔ)設(shè)施和服務(wù)的過程中，但在他們重新啟動服務(wù)器時，客戶仍然受到影響?！皶r間表也會根據(jù)客戶、相關(guān)解決方案和相關(guān)數(shù)據(jù)恢復(fù)需求的不同而有所不同?！睋?jù)悉，Tietoevry在2021年曾經(jīng)遭受過一次勒索軟件攻擊，迫使他們斷開客戶服務(wù)。

勒索攻擊導(dǎo)致瑞典大量服務(wù)中斷

此次勒索軟件攻擊加密了公司用于托管瑞典廣泛業(yè)務(wù)的服務(wù)器。瑞典最大的電影院連鎖Filmstaden已確認他們是受攻擊影響的公司之一，直接導(dǎo)致用戶無法通過網(wǎng)站或移動應(yīng)用在線購買電影票。

其他受攻擊影響的公司包括折扣零售連鎖Rusta、原材料供應(yīng)商Moelven以及農(nóng)業(yè)供應(yīng)商Grangn?rden，后者被迫在IT服務(wù)恢復(fù)期間關(guān)閉其商店。此次中斷還影響了Tietoevry管理的薪資和人力資源系統(tǒng)Primula，該系統(tǒng)在瑞典被政府、大學(xué)和學(xué)院廣泛使用。例如Karolinska Institutet、SLU、University West、斯德哥爾摩大學(xué)、隆德大學(xué)和馬爾默大學(xué)等。

Primula系統(tǒng)的中斷還影響了瑞典的多個政府機構(gòu)和市政當局，包括Statens servicecenter、Vellinge市政當局、Bjuv市政當局和Uppsala縣。對于Uppsala來說，中斷的影響更為顯著，因為它還影響了該地區(qū)的醫(yī)療記錄系統(tǒng)。

Akira勒索組織是攻擊推手

Akira勒索軟件行動是對Tietoevry的攻擊背后的推手，此次攻擊發(fā)生在芬蘭政府警告該國公司正在遭受其持續(xù)攻擊之后不久。Akira勒索軟件行動于2023年3月啟動，很快開始在全球范圍內(nèi)對企業(yè)網(wǎng)絡(luò)進行雙重勒索攻擊。

芬蘭國家網(wǎng)絡(luò)安全中心（NCSC）本月披露，2023年有12起Akira勒索軟件攻擊案件，大多數(shù)發(fā)生在年末?！斑@些事件特別與安全性薄弱的Cisco VPN實施或其未打補丁的漏洞有關(guān)。恢復(fù)通常很困難，”

2023年8月，BAkira勒索軟件團伙入侵未受多因素身份驗證保護的Cisco VPN賬戶，以便進入內(nèi)部企業(yè)網(wǎng)絡(luò)。一旦威脅行為者入侵網(wǎng)絡(luò)，他們就會橫向擴散到其他設(shè)備，同時竊取企業(yè)數(shù)據(jù)。一旦所有數(shù)據(jù)被竊取并獲得管理權(quán)限，威脅行為者就會加密網(wǎng)絡(luò)上的文件。

Cisco表示，客戶應(yīng)在所有VPN賬戶上配置MFA，并將日志數(shù)據(jù)發(fā)送到遠程syslog服務(wù)器。即使威脅行為者清除了Cisco路由器上的日志，使用遠程syslog服務(wù)器，這些日志仍可在遭到入侵后用于分析。

參考來源：https://www.bleepingcomputer.com/news/security/tietoevry-ransomware-attack-causes-outages-for-swedish-firms-cities/