Az Akira Ransomware mögött álló Cybercrooks több mint 42 millió dollárt keresett egy év alatt

A CISA, az FBI, az Europol és a Holland Nemzeti Kiberbiztonsági Központ (NCSC-NL) jelentései szerint az Akira Ransomware- ért felelős kiberbűnözők egy év alatt elképesztő, 42 millió dollárt meghaladó összeget halmoztak fel. Aljas tevékenységeik több mint 250 entitást sújtottak világszerte, számos iparágat felölelve, beleértve a szolgáltatásokat, a gyártást, az oktatást, az építkezést, a kritikus infrastruktúra, a pénzügyi, az egészségügyi és a jogi ágazatokat.

A kezdetben a Windows rendszereket célzó Akira Ransomware kiterjesztette hatókörét a VMware ESXi virtuális gépek megfertőzésére 2023 áprilisa óta. Ezen túlmenően arzenálját a Megazord 2023 augusztusától kezdődő integrációja is megerősítette, amint azt a CISA, az FBI, az Europol és az Europol is kiemelte. Az NCSC-NL egy közelmúltbeli tanácsadójában.

Az Akira Ransomware üzemeltetői kifinomult működési módot mutattak be, kihasználva a többtényezős hitelesítés nélküli VPN-szolgáltatások sebezhetőségeit, különösen a Cisco-termékek, például a CVE-2020-3259 és a CVE-2023-20269 ismert gyengeségeit kihasználva. Olyan taktikákat is alkalmaztak, mint a távoli asztali protokoll (RDP) beszivárgása, lándzsás adathalász kampányok és érvényes hitelesítő adatok felhasználása az áldozatok környezetébe való behatolásra.

A kezdeti hozzáférés megszerzése után ezek a fenyegető szereplők aprólékos kitartási stratégiákat mutatnak be, új tartományfiókokat hoznak létre, hitelesítő adatokat nyernek ki, és kiterjedt hálózati és tartományvezérlő-felderítést hajtanak végre. A figyelmeztetés kiemeli az Akira taktikájának figyelemreméltó fejlődését: két különböző ransomware-változatot telepítettek különböző rendszerarchitektúrák ellen egyetlen incidens eseményen belül.

Az észlelés elkerülése és az oldalirányú mozgás megkönnyítése érdekében az Akira kezelői rendszeresen letiltják a biztonsági szoftvereket. Eszközkészletük számos szoftveralkalmazást tartalmaz az adatok kiszűrésére és a parancs- és vezérlési kommunikáció kialakítására, köztük a FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok és RustDesk.

Más ransomware szindikátusokhoz hasonlóan az Akira is kettős zsarolási modellt alkalmaz: a titkosítás előtt kiszűri az áldozatok adatait, és Tor-alapú kommunikációs csatornákon keresztül Bitcoinban történő fizetést követel. A támadók tovább fokozzák a nyomást azáltal, hogy azzal fenyegetőznek, hogy nyilvánosan nyilvánosságra hozzák a Tor-hálózaton kiszűrt adatokat, és bizonyos esetekben közvetlenül kapcsolatba lépnek az áldozattá vált szervezetekkel.

Válaszul erre az egyre fokozódó fenyegetettségre, a tanácsadás a hálózat védelmezőit ellátja az Akira-hoz kapcsolódó kompromisszumjelzőkkel (IoC), valamint az ilyen támadásokkal szembeni védekezésük megerősítésére javasolt mérséklő stratégiákat.