芬蘭IT服務和企業云托管供應商Tietoevry遭受勒索軟件攻擊，該攻擊嚴重影響了其在瑞典的一個數據中心的云托管客戶。據報道這次攻擊是由Akira勒索軟件團伙發起的。

Tietoevry是一家芬蘭IT服務公司，為企業提供托管服務和云托管。該公司在全球雇用了約24,000名員工，2023年的收入為31億美元。Tietoevry確認，勒索軟件攻擊發生在周五晚上到周六早上，并且只影響了其在瑞典的一個數據中心。

Tietoevry在新聞聲明中解釋：“這次攻擊僅限于我們瑞典數據中心的一部分，影響了Tietoevry對瑞典部分客戶的服務。Tietoevry立即隔離了受影響的平臺，勒索軟件攻擊并未影響公司基礎設施的其他部分。”

Tietoevry公司表示，正在恢復基礎設施和服務的過程中，但在他們重新啟動服務器時，客戶仍然受到影響。“時間表也會根據客戶、相關解決方案和相關數據恢復需求的不同而有所不同。”據悉，Tietoevry在2021年曾經遭受過一次勒索軟件攻擊，迫使他們斷開客戶服務。

勒索攻擊導致瑞典大量服務中斷

此次勒索軟件攻擊加密了公司用于托管瑞典廣泛業務的服務器。瑞典最大的電影院連鎖Filmstaden已確認他們是受攻擊影響的公司之一，直接導致用戶無法通過網站或移動應用在線購買電影票。

其他受攻擊影響的公司包括折扣零售連鎖Rusta、原材料供應商Moelven以及農業供應商Grangn?rden，后者被迫在IT服務恢復期間關閉其商店。此次中斷還影響了Tietoevry管理的薪資和人力資源系統Primula，該系統在瑞典被政府、大學和學院廣泛使用。例如Karolinska Institutet、SLU、University West、斯德哥爾摩大學、隆德大學和馬爾默大學等。

Primula系統的中斷還影響了瑞典的多個政府機構和市政當局，包括Statens servicecenter、Vellinge市政當局、Bjuv市政當局和Uppsala縣。對于Uppsala來說，中斷的影響更為顯著，因為它還影響了該地區的醫療記錄系統。

Akira勒索組織是攻擊推手

Akira勒索軟件行動是對Tietoevry的攻擊背后的推手，此次攻擊發生在芬蘭政府警告該國公司正在遭受其持續攻擊之后不久。Akira勒索軟件行動于2023年3月啟動，很快開始在全球范圍內對企業網絡進行雙重勒索攻擊。

芬蘭國家網絡安全中心（NCSC）本月披露，2023年有12起Akira勒索軟件攻擊案件，大多數發生在年末。“這些事件特別與安全性薄弱的Cisco VPN實施或其未打補丁的漏洞有關。恢復通常很困難，”

2023年8月，BAkira勒索軟件團伙入侵未受多因素身份驗證保護的Cisco VPN賬戶，以便進入內部企業網絡。一旦威脅行為者入侵網絡，他們就會橫向擴散到其他設備，同時竊取企業數據。一旦所有數據被竊取并獲得管理權限，威脅行為者就會加密網絡上的文件。

Cisco表示，客戶應在所有VPN賬戶上配置MFA，并將日志數據發送到遠程syslog服務器。即使威脅行為者清除了Cisco路由器上的日志，使用遠程syslog服務器，這些日志仍可在遭到入侵后用于分析。

參考來源：https://www.bleepingcomputer.com/news/security/tietoevry-ransomware-attack-causes-outages-for-swedish-firms-cities/