Skitstormen TietoEvry
Skitstormen Akira VS TietoEvry
Denna attack är rätt intressant, dock inte tekniskt, utan mer ekonomiskt och politiskt. Tietoevry Oyj, grundat 1968 under ett annat namn är (snart var?) ett företag som fokuserar på att sälja utveckling samt hosting till andra företag/statliga aktörer. Nog om företagets historia.
Attacken
Natten mellan den 19 och 20 januari började någon/några aktörer kryptera stora delar av TietoEvrys hosting infrastruktur. Enligt TietoEvrys uttalande så är det tal om en ransomware-attack. Det vill säga att någon krypterar så mycket data som möjligt för att sedan begära en lösensumma för att dekryptera samma data. Två dagar tidigare skriver dom att det är Akira-ransomware som har använts. Värt att notera är att Akira är en RaaS-grupp (Ransomware as a service). Dom bygger ransomware programvaran, men dom attackerar ingen själv. Istället lånar dom ut sin programvara mot några procent av betalningen till dom som faktiskt utför själva hacket. När någon använt deras programvara för att kryptera något företags data så postas det till deras leak site (OBS, detta är en .onion adress och kan endast nås via Tor). Värt att notera är att TietoEvry inte är listad där i dagsläget.
Hur tog sig hackarna sig in då? Ja, det är där skon klämmer. Enlig denna sjuka artikel så är det “ingen som vet”. TietoEvry förklarar för oss idioter att dom är väldigt bra på cybersäkerhet, och att det är kundernas fel. Även fast dom förklarat att ingen vet hur det har gått till, så är det ändå kundernas fel. Efter lite forskning kan jag med stor säkerhet gissa att det var genom Ivanti sårbarheter dom blev hackade genom.
Bilden ovan visar två av TietroEvrys internet exponerade Ivanti servar. Bilden är tagen 10:e Januari 2024, runt tiden då dom blev hackade.
TietoEvry blev hackade den 19-20 Januari. Cirka 2 veckor efter sårbarheterna släpptes till offentligheten. I denna tråd ser man klart och tydligt att sedan den 10e fanns där åtgärder man kunde göra för att förhindra att någon kunde utnyttja sårbarheterna. Dom helt enkelt sket i att patcha sårbara enheter i över 10 dagar.
i samma artikel skriver dom även att dom inte har fått något ransomnote (En fil som kommer med ransomware-attacker som beskriver hur man går tillväga för att betala och få tillbaka sin data.) eller har haft någon kontakt med hackarna. Detta är mycket ovanligt. Utan detta tjänar hackarna inte pengar, så det måste vara antingen politiska orsaker, eller en anställd som inte tycker om sin arbetsgivare. Det troligaste är att det helt enkelt var ryskledda hackare som ligger bakom detta. Dom är rätt ledsna över att Finland och Sverige håller på att gå med i NATO. Tar man bort den finansiella aspekterna ur hacking så brukar det endast vara nationer eller hacktivister. Jag sätter mina potatis på den förstnämnda.
UPPDATERING 2024-02-17!
Kunder till TietoEvry skriver nu att all backup(som TietoEvry ansvarar över) är även den krypterad. Chansen att få tillbaka krypterad data är med andra ord nästan obefintlig.
Om du som läser detta har tjänster outsourcat till TietoEvry, rekommenderar jag dig att du hastigt tar dig ur kontrakten och ersätter med en seriös aktör.
TietoEvry har med störta sannorliket begått avtalsbrott. På deras hemsida skriver dom bla att dom är ISO27001 certade, vilket bland annat skulle betyda att backuperna inte skulle ha kunnat nås av hackaren. Det har vi ju märkt att så var fallet.