.
A Universidade de Stanford confirmou que está “investigando um incidente de segurança cibernética” após um ataque na semana passada pelo grupo de ransomware Akira.
Akira reivindicou o ataque a Stanford em 27 de outubro, dizendo que havia roubado 430 GB de dados da renomada instituição de ensino.
Além do volume de dados supostamente roubados pelo grupo, pouco se sabe sobre o incidente. Akira disse que tem acesso a “informações privadas, documentos confidenciais, etc.” mas por outro lado manteve-se calado.
Strong The One contatou Akira para obter uma atualização sobre as negociações, mas não recebeu resposta no momento da publicação.
A declaração da Universidade de Stanford confirmando a notícia sugeriu que o ataque foi limitado a um sistema do Departamento de Segurança Pública (SUDPS), o departamento de polícia do campus.
“A segurança e a integridade dos nossos sistemas de informação são as principais prioridades e trabalhamos continuamente para salvaguardar a nossa rede”, afirmou. disse. “Continuamos investigando um incidente de segurança cibernética no Departamento de Segurança Pública da Universidade de Stanford (SUDPS) para determinar a extensão do que pode ter sido impactado.
“Com base na nossa investigação até o momento, não há indicação de que o incidente tenha afetado qualquer outra parte da universidade, nem tenha impactado a resposta da polícia às emergências. O sistema SUDPS afetado foi protegido.
“Nossas equipes de privacidade e segurança da informação têm dado atenção concentrada a este assunto, em coordenação com especialistas externos. A investigação está em andamento e, uma vez concluída, agiremos de acordo e poderemos compartilhar mais informações com a comunidade”.
Grupos de ransomware já reivindicaram três ataques à universidade em alguns anos, com Cl0p postando Stanford pela segunda vez em março deste ano, após o primeiro ataque em 2021 através do seu compromisso de Accellion FTA.
Akira descoberto
A operação de ransomware como serviço Akira só está ativa desde março, mas os especialistas em segurança consideram que ela tem “operadores altamente experientes e qualificados no seu comando”.
De acordo com a Trend Micro e a Arctic Wolf, o Akira é uma nova variedade de ransomware que pode ser administrada pelas mesmas pessoas por trás do Grupo Contique foi responsável por uma série de ataques de alto perfil, incluindo um que paralisou o Governo da Costa Rica.
Acredita-se que o próprio Conti tenha herdado membros do grupo de ransomware Ryuk, ambos com ligações com a Rússia, sendo que este último também reivindica uma longa lista de ataques de alto perfil.
Especialistas que analisaram o código de Akira disse difere completamente do grupo de mesmo nome que operava em 2017 e tem uma forte semelhança com o Conti com sua ofuscação de strings e criptografia de arquivos.
Um relatório recente da BHI Energy, que fornece gerenciamento de projetos e suporte de pessoal para organizações de energia dos EUA, ofereceu informações sobre como ocorre um ataque de ransomware Akira.
Naquilo caso [PDF]Akira usou credenciais VPN roubadas de um contratante terceirizado para fazer a intrusão inicial na rede da BHI Energy e posteriormente realizar o reconhecimento interno usando o mesmo método.
Então, durante um período de nove dias em junho de 2023, ele roubou uma grande quantidade de dados – 690 GB e 767.035 arquivos – antes de implantar sua carga de ransomware, criptografando arquivos em um subconjunto de sistemas.
A inteligência de outros especialistas mostrando que a carga útil do ransomware do Akira também executa um script do PowerShell para remover cópias de sombra de volume e anexa a extensão “.akira” aos arquivos criptografados. ®
.
