Die finnische IT-Dienstleistungs- und Unternehmens-Cloud-Hosting-Firma Tietoevry ist von einem Ransomware-Angriff betroffen, der Kunden ihres Cloud-Hostings in einem ihrer Datenzentren in Schweden beeinträchtigt hat. Der Angriff wurde Berichten zufolge von der Akira Ransomware-Gang durchgeführt.
Tietoevry bestätigte, dass der Ransomware-Angriff von Freitagnacht bis Samstagmorgen stattgefunden hat und nur eines ihrer Datenzentren in Schweden betroffen ist. Das Unternehmen beschäftigt weltweit etwa 24.000 Mitarbeiter und erzielte im Jahr 2023 einen Umsatz von 3,1 Milliarden Dollar.
Das betroffene Datenzentrum wird für den Unternehmens-Cloud-Hosting-Service von Tietoevry genutzt, was zu Ausfällen für mehrere Kunden in Schweden führte. Tietoevry arbeitet an der Wiederherstellung der Infrastruktur und Dienste, aber Kunden bleiben weiterhin betroffen, während die Server wieder online gebracht werden.
Wir wurden darüber informiert, dass der Ransomware-Angriff die Virtualisierungs- und Verwaltungsserver des Unternehmens verschlüsselt hat, die für das Hosting von Websites oder Anwendungen für eine Vielzahl von Unternehmen in Schweden verwendet werden.
Zu den von dem Angriff betroffenen Unternehmen gehören Schwedens größte Kinokette Filmstaden, die Einzelhandelskette Rusta, der Rohbaumaterialanbieter Moelven und der Landwirtschaftslieferant Grangnården. Der Ausfall betrifft auch das von Tietoevry verwaltete Gehalts- und HR-System Primula, das von der Regierung, Universitäten und Hochschulen in Schweden genutzt wird.
Uns wurde mitgeteilt, dass die Akira Ransomware-Operation hinter dem Angriff auf Tietoevry steckt. Dies folgt kurz nachdem die finnische Regierung vor ihren laufenden Angriffen auf Unternehmen im Land gewarnt hatte.
Die Akira Ransomware-Operation startete im März 2023 und begann schnell, Unternehmensnetzwerke weltweit in Double-Extortion-Angriffen zu durchbrechen. Das finnische Nationale Cyber-Sicherheitszentrum (NCSC) gab diesen Monat bekannt, dass es im Jahr 2023 12 gemeldete Fälle von Akira Ransomware-Angriffen gab, wobei die meisten gegen Ende des Jahres stattfanden.
Cisco riet zu dieser Zeit, dass Kunden MFA auf allen VPN-Konten konfigurieren und Logging-Daten an einen entfernten Syslog-Server senden sollten. Mit einem entfernten Syslog-Server bleiben die Logs auch nach einer Löschung durch die Angreifer analysierbar.
