資安威脅趨勢 - 多個組織遭到勒索軟體Akira鎖定

                            

多個組織遭到勒索軟體Akira鎖定

一、摘要

        勒索軟體Akira利用CVE-2023-20269入侵組織的內部網路環境，該漏洞存在於思科的網路資安設備ASA、FTD系列，攻擊者可在未經授權的情況下，藉由暴力破解攻擊找出有效的帳號及密碼，甚至可能透過未經授權的使用者，建立無用戶端的SSL VPN連線。

二、存在風險

        資安業者Logpoint表示，截至9月15日，總共有110多個組織受害，這些組織大部分位於美國和英國，但駭客沒有偏好特定產業，受害組織涵蓋教育、金融、房仲、製造、顧問業者，當中包含大型生產流程品質檢驗業者Intertek。一旦駭客得到內部網路的存取權限，就會使用遠端桌面連線工具AnyDesk、RustDesk，以及壓縮軟體WinRAR來進行後續攻擊行動，並且利用系統資訊工具PC Hunter及wmiexec橫向移動。

        此外，為了讓檔案加密工作能順利執行，駭客會停用Windows內建的防毒軟體即時監控功能，並使用PowerShell下達刪除磁碟區陰影複製服務（VSS）的備份檔案。另，駭客也開發了Linux版的加密程式，可用來加密VMware ESXi虛擬機器的檔案，進行綁架勒贖。

        建議改善措施：

1. 檢視對外開放伺服器之通訊埠是否有以最小原則對外開放存取。
2. 定期更新重要設備（伺服器、網路設備、資安設備）。
3. 儘速導入雲智維服務，進行資安威脅情資偵測與聯防，降低企業資安風險。
   
   

       情資報告連結：https://www.ithome.com.tw/news/158964