Akira Fidye Yazılımının Arkasındaki Siber Dolandırıcılar Bir Yılda 42 Milyon Dolardan Fazla Kazandı

CISA, FBI, Europol ve Hollanda Ulusal Siber Güvenlik Merkezi'nin (NCSC-NL) raporlarına göre, Akira Fidye Yazılımından sorumlu siber suçlular yalnızca bir yıl içinde 42 milyon doların üzerinde şaşırtıcı bir meblağa ulaştı. Onların hain faaliyetleri dünya çapında hizmet, imalat, eğitim, inşaat, kritik altyapı, finans, sağlık ve hukuk sektörleri de dahil olmak üzere bir dizi sektörü kapsayan 250'den fazla kuruluşu mağdur etti.

Başlangıçta Windows sistemlerini hedeflemekle sınırlı olan Akira Fidye Yazılımı, Nisan 2023'ten bu yana VMware ESXi sanal makinelerine bulaşacak şekilde erişim alanını genişletti. Ayrıca, CISA, FBI, Europol ve tarafından vurgulandığı gibi Ağustos 2023'ten itibaren Megazord'un entegrasyonuyla cephaneliği güçlendirildi. NCSC-NL yakın tarihli bir danışma belgesinde.

Akira Ransomware operatörleri, çok faktörlü kimlik doğrulaması olmayan VPN hizmetlerindeki güvenlik açıklarından yararlanarak, özellikle CVE-2020-3259 ve CVE-2023-20269 gibi Cisco ürünlerindeki bilinen zayıflıklardan yararlanarak karmaşık bir çalışma yöntemi sergilediler. Ayrıca uzak masaüstü protokolüne (RDP) sızma, hedefe yönelik kimlik avı kampanyaları ve kurbanların ortamlarına sızmak için geçerli kimlik bilgilerinin kullanılması gibi taktikler de kullandılar.

İlk erişim elde edildikten sonra bu tehdit aktörleri, yeni etki alanı hesapları oluşturarak, kimlik bilgilerini çıkararak ve kapsamlı ağ ve etki alanı denetleyicisi keşifleri gerçekleştirerek titiz kalıcılık stratejileri sergiler. Uyarı, tek bir ihlal olayında farklı sistem mimarilerine karşı iki farklı fidye yazılımı varyantının konuşlandırılmasıyla Akira'nın taktiklerinde kayda değer bir evrimin altını çiziyor.

Akira operatörleri, tespit edilmekten kaçınmak ve yanal hareketi kolaylaştırmak amacıyla güvenlik yazılımını sistematik olarak devre dışı bırakır. Araç kitleri, veri sızdırma ve komuta ve kontrol iletişimi kurmaya yönelik FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok ve RustDesk dahil olmak üzere bir dizi yazılım uygulamasını içerir.

Diğer fidye yazılımı sendikalarına benzer şekilde Akira, şifrelemeden önce kurbanların verilerini sızdıran ve Tor tabanlı iletişim kanalları aracılığıyla Bitcoin cinsinden ödeme talep eden ikili bir gasp modeli benimsiyor. Saldırganlar, Tor ağına sızdırılan verileri kamuya açıklamakla ve bazı durumlarda mağdur kuruluşlarla doğrudan iletişime geçmekle tehdit ederek baskıyı daha da artırıyor.

Bu artan tehdit ortamına yanıt olarak danışma belgesi, ağ savunucularına Akira ile ilişkili risk göstergeleri (IoC'ler) ve bu tür saldırılara karşı savunmalarını güçlendirmek için önerilen azaltma stratejileri sağlar.