官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

芬兰IT服务和企业云托管供应商Tietoevry遭受勒索软件攻击，该攻击严重影响了其在瑞典的一个数据中心的云托管客户。据报道这次攻击是由Akira勒索软件团伙发起的。

Tietoevry是一家芬兰IT服务公司，为企业提供托管服务和云托管。该公司在全球雇用了约24,000名员工，2023年的收入为31亿美元。Tietoevry确认，勒索软件攻击发生在周五晚上到周六早上，并且只影响了其在瑞典的一个数据中心。

Tietoevry在新闻声明中解释：“这次攻击仅限于我们瑞典数据中心的一部分，影响了Tietoevry对瑞典部分客户的服务。Tietoevry立即隔离了受影响的平台，勒索软件攻击并未影响公司基础设施的其他部分。”

Tietoevry公司表示，正在恢复基础设施和服务的过程中，但在他们重新启动服务器时，客户仍然受到影响。“时间表也会根据客户、相关解决方案和相关数据恢复需求的不同而有所不同。”据悉，Tietoevry在2021年曾经遭受过一次勒索软件攻击，迫使他们断开客户服务。

勒索攻击导致瑞典大量服务中断

此次勒索软件攻击加密了公司用于托管瑞典广泛业务的服务器。瑞典最大的电影院连锁Filmstaden已确认他们是受攻击影响的公司之一，直接导致用户无法通过网站或移动应用在线购买电影票。

其他受攻击影响的公司包括折扣零售连锁Rusta、原材料供应商Moelven以及农业供应商Grangnården，后者被迫在IT服务恢复期间关闭其商店。此次中断还影响了Tietoevry管理的薪资和人力资源系统Primula，该系统在瑞典被政府、大学和学院广泛使用。例如Karolinska Institutet、SLU、University West、斯德哥尔摩大学、隆德大学和马尔默大学等。

Primula系统的中断还影响了瑞典的多个政府机构和市政当局，包括Statens servicecenter、Vellinge市政当局、Bjuv市政当局和Uppsala县。对于Uppsala来说，中断的影响更为显著，因为它还影响了该地区的医疗记录系统。

Akira勒索组织是攻击推手

Akira勒索软件行动是对Tietoevry的攻击背后的推手，此次攻击发生在芬兰政府警告该国公司正在遭受其持续攻击之后不久。Akira勒索软件行动于2023年3月启动，很快开始在全球范围内对企业网络进行双重勒索攻击。

芬兰国家网络安全中心（NCSC）本月披露，2023年有12起Akira勒索软件攻击案件，大多数发生在年末。“这些事件特别与安全性薄弱的Cisco VPN实施或其未打补丁的漏洞有关。恢复通常很困难，”

2023年8月，BAkira勒索软件团伙入侵未受多因素身份验证保护的Cisco VPN账户，以便进入内部企业网络。一旦威胁行为者入侵网络，他们就会横向扩散到其他设备，同时窃取企业数据。一旦所有数据被窃取并获得管理权限，威胁行为者就会加密网络上的文件。

Cisco表示，客户应在所有VPN账户上配置MFA，并将日志数据发送到远程syslog服务器。即使威胁行为者清除了Cisco路由器上的日志，使用远程syslog服务器，这些日志仍可在遭到入侵后用于分析。

参考来源：https://www.bleepingcomputer.com/news/security/tietoevry-ransomware-attack-causes-outages-for-swedish-firms-cities/