Gen 23, 2024 Attacchi, Campagne malware, Hacking, Malware, Minacce, News, Ransomware, Vulnerabilità
Tietoevry, un’importante azienda finlandese di servizi IT e cloud hosting, ha subito un attacco ransomware da parte del gruppo Akira, che ha interessato uno dei suoi data center in Svezia. Questo attacco, avvenuto tra venerdì notte e sabato mattina, ha provocato interruzioni significative per vari clienti svedesi.
Tietoevry, con un fatturato del 2023 di 3,1 miliardi di dollari e circa 24.000 dipendenti a livello globale, afferma che l’attacco si è verificato tra venerdì notte e sabato mattina e ha avuto un impatto solo su uno dei loro data center.
Ha quindi provveduto a isolare immediatamente la piattaforma colpita; l’attacco non avrebbe colpito altre parti dell’infrastruttura aziendale.
L’azienda afferma di essere in procinto di ripristinare l’infrastruttura e i servizi ma intanto l’attacco ha causato l’interruzione di servizi per diverse imprese in Svezia.
Tra le aziende colpite troviamo la catena di discount Rusta, il fornitore di materie prime per l’edilizia Moelven e il fornitore agricolo Grangnården, costretto a chiudere i negozi in attesa che i servizi IT vengono ripristinati. L’attacco ha colpito anche la più grande catena di cinema svedese Filmstaden, che ha dovuto sospendere l’acquisto online di biglietti.
L’operazione condotta da Akira ha bloccato anche Primula, il sistema gestito di Tietoevry per le buste paga utilizzato dal governo, dalle università e dai college in Svezia quali Karolinska Institutet, SLU, University West, Stockholm University, Lunds Universitet e Malmö University.
Sono state colpite anche numerose agenzie governative e comuni in Svezia, tra cui il centro servizi di Statens, il comune di Vellinge, il comune di Bjuv e la contea di Uppsala. Anche il settore sanitario di Uppsala è stato colpito, con impatti sul sistema di cartelle cliniche della regione.
La banda di ransomware Akira, responsabile dell’attacco, ha iniziato l’attività nel marzo 2023 ed è nota per i suoi attacchi a doppia estorsione. Il National Cyber Security Center (NCSC) finlandese ha riferito di 12 casi di attacchi da parte di Akira nel 2023, concentrati soprattutto verso la fine dell’anno.
Spesso sfruttano vulnerabilità in sistemi VPN Cisco non adeguatamente protetti, tant’e che la stessa Cisco ha raccomandato ai clienti di utilizzare l’autenticazione multi-fattore sui loro account VPN, e di inviare i dati di registrazione a un server syslog remoto.
Questo non è il primo attacco ransomware subito da Tietoevry; già nel 2021 l’azienda si era trovata a dover disconnettere i servizi dei propri clienti a causa di un attacco simile.