حقق المحتالون الإلكترونيون الذين يقفون وراء برنامج Akira Ransomware أكثر من 42 مليون دولار في عام واحد

قام المجرمون الإلكترونيون المسؤولون عن Akira Ransomware بجمع مبلغ مذهل يزيد عن 42 مليون دولار في غضون عام واحد فقط، وفقًا لتقارير من CISA ومكتب التحقيقات الفيدرالي واليوروبول والمركز الوطني للأمن السيبراني في هولندا (NCSC-NL). لقد أوقعت أنشطتهم الشائنة ضحية أكثر من 250 كيانًا في جميع أنحاء العالم، تغطي مجموعة من الصناعات بما في ذلك الخدمات والتصنيع والتعليم والبناء والبنية التحتية الحيوية والتمويل والرعاية الصحية والقطاعات القانونية.

اقتصر برنامج Akira Ransomware في البداية على استهداف أنظمة Windows، ثم قام بتوسيع نطاق وصوله ليصيب الأجهزة الافتراضية VMware ESXi منذ أبريل 2023. علاوة على ذلك، تم تعزيز ترسانته من خلال دمج Megazord بدءًا من أغسطس 2023، كما أبرزت CISA ومكتب التحقيقات الفيدرالي ويوروبول و NCSC-NL في استشارة حديثة.

أظهر مشغلو Akira Ransomware طريقة عمل متطورة، حيث قاموا باستغلال نقاط الضعف في خدمات VPN التي تفتقر إلى المصادقة متعددة العوامل، وخاصة الاستفادة من نقاط الضعف المعروفة في منتجات Cisco مثل CVE-2020-3259 وCVE-2023-20269. لقد استخدموا أيضًا تكتيكات مثل تسلل بروتوكول سطح المكتب البعيد (RDP)، وحملات التصيد الاحتيالي، واستخدام بيانات الاعتماد الصالحة للتسلل إلى بيئات الضحايا.

بعد حصولهم على الوصول الأولي، تظهر الجهات الفاعلة في التهديد استراتيجيات ثبات دقيقة، وإنشاء حسابات مجال جديدة، واستخراج بيانات الاعتماد، وإجراء استطلاع واسع النطاق للشبكة ووحدة التحكم بالمجال. ويسلط التحذير الضوء على التطور الملحوظ في تكتيكات "أكيرا"، مع نشر نوعين مختلفين من برامج الفدية ضد بنيات أنظمة مختلفة في حدث اختراق واحد.

في محاولة لتجنب الكشف وتسهيل الحركة الجانبية، يقوم مشغلو Akira بتعطيل برامج الأمان بشكل منهجي. تتضمن مجموعة الأدوات الخاصة بهم مجموعة من التطبيقات البرمجية لاستخلاص البيانات وإنشاء اتصالات الأوامر والتحكم، بما في ذلك FileZilla وWinRAR وWinSCP وRClone وAnyDesk وCloudflare Tunnel وMobaXterm وNgrok وRustDesk.

على غرار عصابات برامج الفدية الأخرى ، تتبنى أكيرا نموذج ابتزاز مزدوج، حيث تقوم بتسريب بيانات الضحايا قبل التشفير والمطالبة بالدفع بالبيتكوين عبر قنوات الاتصال المستندة إلى Tor. يزيد المهاجمون من تصعيد الضغط من خلال التهديد بالكشف العلني عن البيانات المسربة على شبكة Tor، وفي بعض الحالات، الاتصال مباشرة بالمنظمات الضحية.

واستجابة لمشهد التهديد المتصاعد هذا، يزود التقرير المدافعين عن الشبكة بمؤشرات الاختراق (IoCs) المرتبطة بـ Akira، إلى جانب استراتيجيات التخفيف الموصى بها لتعزيز دفاعاتهم ضد مثل هذه الهجمات.