Súlyos hackertámadás érte a spliti repülőteret, a tettes az orosz kötődésű Akira csoport

A spliti Szent Jeromos Repülőtér, amely az Adriai-tenger egyik legforgalmasabb kapuja, súlyos hacker támadás áldozata lett, a támadók pénzt követelnek a reptéri rendszer visszaállításáért. A támadás július 22-én, este fél nyolc körül történt, amikor a repülőtér informatikai rendszere váratlanul összeomlott. Eleinte nem volt világos, mi történt, azonban rövidesen kiderült, hogy súlyos hacker támadás érte a rendszert. Lukša Novak, a repülőtér elnöke elmondta, hogy az első észlelés óta a szakemberek folyamatosan dolgoznak a probléma elhárításán, de a repülőtér honlapja cikkünk keletkezésének időpontjában sem volt elérhető.

Nem fizetnek a hackereknek

Az éjszaka folyamán nyolc informatikai szakember dolgozott a rendszer helyreállításán, reggelre pedig tíz szakértőre bővült a csapat. Annak ellenére, hogy a rendszerek továbbra sem működtek, a repülőtér vezetése úgy döntött, hogy manuális módszerekkel folytatják az üzemeltetést. A légitársaságokkal együttműködve, akik listákat küldtek az utasokról, biztosították a repülések nem éppen zavartalan folytatását.

A támadók üzenetet hagytak, amelyben tárgyalásokat követeltek a lehetséges kifizetésekről, a horvát kormány és a spliti repülőtér azonban határozottan elutasította, hogy szóba álljanak a hackerekkel. Novak elmondta, hogy a támadók az Akira nevű csoporthoz tartoznak, akik vállalták a felelősséget a támadásért.

Az Akira ismert ransomware, vagyis zsarolóvírusokat telepítő csoport, amely a rendszerekhez való hozzáférést követően pénzt követel, különben nyilvánosságra hozza az ellopott adatokat (Forrás: YouTube)

Az Akira egy ismert ransomware, vagyis zsarolóvírusokat telepítő csoport, amely a rendszerekhez való hozzáférést követően pénzt követel, különben nyilvánosságra hozza az ellopott adatokat.

A repülőtér helyzete még nem normalizálódott teljesen, de jelentős késések nélkül folytatják az üzemeltetést. Pero Bilas, a repülőtér igazgatóhelyettese elmondta, hogy a regisztrációs folyamatokat manuálisan végzik, ami bonyolultabb, de működik, vagyis az utasok fogadása gördülékenyen zajlik.

A támadás következtében a spliti repülőtér fokozta a kiberbiztonsági intézkedéseket, hogy megelőzzék a hasonló incidenseket a jövőben. A zsarolóvírus támadások elleni védekezés egyik legfontosabb lépése a VPN-ek használata többfaktoros hitelesítéssel, valamint a rendszeres biztonsági frissítések és a programok sebezhetőségének azonnali kezelése.

Az Akira csoport korábbi támadásai

Az Akira csoport korábban már számos nagyvállalatot és intézményt támadott meg, köztük a Nissan autógyárat és a Stanford Egyetemet. Az ilyen támadások során a csoport több millió dollárt zsarol ki áldozatoktól, különben nyilvánosságra hozza az érzékeny adatokat.

Az amerikai kiberbiztonsági hatóságok már figyelmeztetést adtak ki a csoport tevékenységével kapcsolatban.

Ilyen üzeneteket küld az Akira csoport a kiszemelt áldozatoknak (Forrás: YouTube)

Az Akira (vagy Akira Ransomware) az egyik leggyorsabban növekvő zsarolóprogram-családdá kezd válni, amely kettős zsarolási taktikát, Ransomware-as-a-Service (RaaS) terjesztési modellt és egyedi fizetési lehetőségeket használ. A Blockchain és forráskód adatokat elemző jelentések szerint úgy tűnik, hogy az Akira csoport a már megszűnt Conti ransomware bandához kapcsolódik.

Az egyik legnézettebb horvát televíziós csatornának számító Nova Televízió egyértelműen azt állította, hogy az Akira egy orosz hackercsoport, amit nyilván arra alapozott, hogy a banda szorosan kapcsolódott az előbb említett orosz hátterű Conti csoporthoz.

Kapcsolódó cikk

Az oroszok a spájzban és a kórházban vannak

A „Ransomware-as-a-Service” (RaaS) olyan kiberbűnözési modell, amelyben a ransomware szoftvereket szolgáltatásként kínálják. Ez a modell hasonló a legális szoftver szolgáltatásokhoz (mint például a SaaS – Software-as-a-Service), de itt a cél a rosszindulatú tevékenységek támogatása.

Az Akira ransomware 2023 márciusában jelent meg, és köztudottan egyesült államokbeli és kanadai vállalkozásokat céloz meg, létezése óta mintegy 250 célpontja volt. Az Akira áldozatainak többsége – egészen pontosan 85,9 százaléka – észak-amerikai székhelyű vállalat volt, amelyet nyolc európai támadás követett, különösen szeretik Franciaországot, ahol az összes észlelés 53,1 százaléka az Akirához kötődött.

A zsarolóprogram általában érvényes bejelentkezési adatokon keresztül jut be az áldozat rendszerébe. Olyan harmadik féltől származó eszközöket használnak, mint a PCHunter, AdFind, PowerTool, Terminator, Advanced IP Scanner, Windows Remote Desktop Protocol (RDP), AnyDesk, Radmin, WinRAR és a Cloudflare tunneling eszköze.

Az utóbbi időben nem ez az első támadás horvát célpontok ellen, közel egy hónappal ezelőtt hackertámadás érte a horvát pénzügyminisztérium, az adóhatóság, a Horvát Nemzeti Bank, a Zágrábi Értéktőzsde weboldalait, valamint a Zágrábi Egyetemi Kórházi Központot, ahol ezért a szokottnál lassabban zajlottak a vizsgálatok, az akkori támadásért a NoName057 orosz hackercsoport vállalta a felelősséget.