此次勒索软件攻击加密了公司用于托管瑞典广泛业务的服务器。瑞典最大的电影院连锁Filmstaden已确认他们是受攻击影响的公司之一，直接导致用户无法通过网站或移动应用在线购买电影票。

其他受攻击影响的公司包括折扣零售连锁Rusta、原材料供应商Moelven以及农业供应商Grangnården，后者被迫在IT服务恢复期间关闭其商店。此次中断还影响了Tietoevry管理的薪资和人力资源系统Primula，该系统在瑞典被政府、大学和学院广泛使用。例如Karolinska Institutet、SLU、University West、斯德哥尔摩大学、隆德大学和马尔默大学等。

Primula系统的中断还影响了瑞典的多个政府机构和市政当局，包括Statens servicecenter、Vellinge市政当局、Bjuv市政当局和Uppsala县。对于Uppsala来说，中断的影响更为显著，因为它还影响了该地区的医疗记录系统。

Akira勒索软件行动是对Tietoevry的攻击背后的推手，此次攻击发生在芬兰政府警告该国公司正在遭受其持续攻击之后不久。Akira勒索软件行动于2023年3月启动，很快开始在全球范围内对企业网络进行双重勒索攻击。

芬兰国家网络安全中心（NCSC）本月披露，2023年有12起Akira勒索软件攻击案件，大多数发生在年末。“这些事件特别与安全性薄弱的Cisco VPN实施或其未打补丁的漏洞有关，恢复通常很困难。”

2023年8月，BAkira勒索软件团伙入侵未受多因素身份验证保护的Cisco VPN账户，以便进入内部企业网络。一旦威胁行为者入侵网络，他们就会横向扩散到其他设备，同时窃取企业数据。一旦所有数据被窃取并获得管理权限，威胁行为者就会加密网络上的文件。

Cisco表示，客户应在所有VPN账户上配置MFA，并将日志数据发送到远程syslog服务器。即使威胁行为者清除了Cisco路由器上的日志，使用远程syslog服务器，这些日志仍可在遭到入侵后用于分析。

参考资料：

https://www.bleepingcomputer.com/news/security/tietoevry-ransomware-attack-causes-outages-for-swedish-firms-cities/