Cyberskurke bag Akira Ransomware tjente over $42 millioner på et år

De cyberkriminelle, der er ansvarlige for Akira Ransomware, har samlet en svimlende sum på over 42 millioner dollars inden for blot et år, ifølge rapporter fra CISA, FBI, Europol og Hollands nationale cybersikkerhedscenter (NCSC-NL). Deres uhyggelige aktiviteter har ramt mere end 250 enheder verden over, der spænder over en række industrier, herunder service, fremstilling, uddannelse, byggeri, kritisk infrastruktur, finans, sundhedspleje og juridiske sektorer.

Akira Ransomware, der oprindeligt var begrænset til Windows-systemer, har udvidet sin rækkevidde til at inficere virtuelle VMware ESXi-maskiner siden april 2023. Desuden blev dets arsenal styrket med integrationen af Megazord fra august 2023, som fremhævet af CISA, FBI, Europol og NCSC-NL i en nylig rådgivning.

Operatørerne af Akira Ransomware har demonstreret en sofistikeret modus operandi, hvor de udnytter sårbarheder i VPN-tjenester, der mangler multi-faktor-autentificering, især ved at udnytte kendte svagheder i Cisco-produkter som CVE-2020-3259 og CVE-2023-20269. De har også brugt taktikker såsom remote desktop protocol (RDP) infiltration, spear-phishing-kampagner og brugen af gyldige legitimationsoplysninger til at infiltrere ofrenes miljøer.

Efter at have fået den første adgang, udviser disse trusselsaktører omhyggelige persistensstrategier, skaber nye domænekonti, udtrækker legitimationsoplysninger og udfører omfattende netværks- og domænecontrollerrekognoscering. Rådgivningen understreger en bemærkelsesværdig udvikling i Akiras taktik med implementeringen af to forskellige ransomware-varianter mod forskellige systemarkitekturer inden for en enkelt brudhændelse.

I et forsøg på at undgå registrering og lette lateral bevægelse deaktiverer Akira-operatørerne systematisk sikkerhedssoftware. Deres værktøjssæt inkluderer en række softwareapplikationer til dataeksfiltrering og etablering af kommando-og-kontrol kommunikation, herunder FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok og RustDesk.

I lighed med andre ransomware-syndikater anvender Akira en dobbelt afpresningsmodel, der eksfiltrerer ofrenes data før kryptering og kræver betaling i Bitcoin via Tor-baserede kommunikationskanaler. Angriberne eskalerer presset yderligere ved at true med offentligt at offentliggøre eksfiltrerede data på Tor-netværket og i nogle tilfælde direkte kontakte ofre organisationer.

Som svar på dette eskalerende trusselslandskab forsyner rådgivningen netværksforsvarere med indikatorer for kompromis (IoC'er) forbundet med Akira, sammen med anbefalede afbødningsstrategier for at styrke deres forsvar mod sådanne angreb.