Cybercriminelen achter de Akira-ransomware verdienden in één jaar tijd meer dan $42 miljoen

De cybercriminelen die verantwoordelijk zijn voor de Akira Ransomware hebben binnen slechts één jaar een duizelingwekkende som van ruim 42 miljoen dollar vergaard, volgens rapporten van CISA, de FBI, Europol en het Nederlandse Nationale Cyber Security Centrum (NCSC-NL). Hun snode activiteiten hebben wereldwijd meer dan 250 entiteiten het slachtoffer gemaakt, verspreid over een reeks sectoren, waaronder de dienstensector, de productie, het onderwijs, de bouw, kritieke infrastructuur, de financiële sector, de gezondheidszorg en de juridische sector.

Aanvankelijk beperkt tot het targeten van Windows-systemen, heeft de Akira Ransomware sinds april 2023 zijn bereik uitgebreid om virtuele VMware ESXi-machines te infecteren. Bovendien werd zijn arsenaal versterkt met de integratie van Megazord vanaf augustus 2023, zoals benadrukt door CISA, de FBI, Europol en NCSC-NL in een recent advies.

De exploitanten van Akira Ransomware hebben een geavanceerde modus operandi gedemonstreerd, waarbij ze misbruik maken van kwetsbaarheden in VPN-diensten zonder multi-factor authenticatie, met name door gebruik te maken van bekende zwakheden in Cisco-producten zoals CVE-2020-3259 en CVE-2023-20269. Ze hebben ook tactieken toegepast zoals infiltratie van het Remote Desktop Protocol (RDP), spear-phishing-campagnes en het gebruik van geldige inloggegevens om de omgevingen van slachtoffers te infiltreren.

Nadat ze de eerste toegang hebben verkregen, hanteren deze bedreigingsactoren nauwgezette persistentiestrategieën, maken ze nieuwe domeinaccounts aan, extraheren ze inloggegevens en voeren ze uitgebreide netwerk- en domeincontrollerverkenningen uit. Het advies onderstreept een opmerkelijke evolutie in Akira's tactiek, met de inzet van twee verschillende ransomwarevarianten tegen verschillende systeemarchitecturen binnen één enkele inbreuk.

In een poging om detectie te omzeilen en zijwaartse beweging te vergemakkelijken, schakelen de Akira-operators systematisch de beveiligingssoftware uit. Hun toolkit omvat een reeks softwareapplicaties voor data-exfiltratie en het tot stand brengen van command-and-control-communicatie, waaronder FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok en RustDesk.

Net als andere ransomware-syndicaten hanteert Akira een dubbel afpersingsmodel, waarbij de gegevens van de slachtoffers worden geëxfiltreerd voordat ze worden versleuteld, en betaling in Bitcoin wordt geëist via op Tor gebaseerde communicatiekanalen. De aanvallers verhogen de druk verder door te dreigen met het openbaar maken van geëxfiltreerde gegevens op het Tor-netwerk en, in sommige gevallen, door rechtstreeks contact op te nemen met de getroffen organisaties.

Als reactie op dit escalerende dreigingslandschap voorziet het advies netwerkverdedigers van indicatoren van compromissen (IoC's) die verband houden met Akira, samen met aanbevolen mitigatiestrategieën om hun verdediging tegen dergelijke aanvallen te versterken.