سایبرکروکهای پشت باجافزار Akira بیش از ۴۲ میلیون دلار در یک سال به دست آوردند
بر اساس گزارشهای CISA، FBI، Europol و مرکز ملی امنیت سایبری هلند (NCSC-NL)، مجرمان سایبری مسئول باجافزار Akira تنها ظرف یک سال مبلغ حیرتآوری بالغ بر 42 میلیون دلار جمعآوری کردهاند. فعالیت های پلید آنها بیش از 250 نهاد در سراسر جهان را قربانی کرده است که طیف وسیعی از صنایع از جمله خدمات، تولید، آموزش، ساخت و ساز، زیرساخت های حیاتی، مالی، مراقبت های بهداشتی و بخش های قانونی را در بر می گیرد.
باجافزار Akira که در ابتدا محدود به سیستمهای ویندوز بود، از آوریل 2023 دامنه خود را برای آلوده کردن ماشینهای مجازی VMware ESXi گسترش داد. علاوه بر این، زرادخانه آن با ادغام Megazord از آگوست 2023 تقویت شد، همانطور که توسط CISA، FBI، Europol، و مشخص شده است. NCSC-NL در یک توصیه اخیر.
اپراتورهای باجافزار Akira با بهرهبرداری از آسیبپذیریهای سرویسهای VPN فاقد احراز هویت چندعاملی، بهویژه از ضعفهای شناختهشده در محصولات سیسکو مانند CVE-2020-3259 و CVE-2023-20269، یک روش عملیاتی پیچیده را نشان دادهاند. آنها همچنین از تاکتیک هایی مانند نفوذ پروتکل دسکتاپ راه دور (RDP)، کمپین های فیشینگ نیزه ای و استفاده از اعتبارنامه های معتبر برای نفوذ به محیط های قربانیان استفاده کرده اند.
پس از دستیابی به دسترسی اولیه، این عوامل تهدید، استراتژیهای پایداری دقیق، ایجاد حسابهای دامنه جدید، استخراج اعتبار، و انجام شناسایی گسترده کنترلکننده شبکه و دامنه را نشان میدهند. این توصیه بر تحول قابل توجهی در تاکتیکهای آکیرا، با استقرار دو نوع باجافزار متمایز در برابر معماریهای مختلف سیستم در یک رخداد نقض تأکید میکند.
اپراتورهای Akira به منظور فرار از تشخیص و تسهیل حرکت جانبی، نرم افزار امنیتی را به طور سیستماتیک غیرفعال می کنند. جعبه ابزار آنها شامل طیف وسیعی از نرم افزارهای کاربردی برای استخراج داده ها و برقراری ارتباطات فرمان و کنترل است، از جمله FileZilla، WinRAR، WinSCP، RClone، AnyDesk، Cloudflare Tunnel، MobaXterm، Ngrok و RustDesk.
مشابه دیگر سندیکاهای باجافزار ، آکیرا از مدل اخاذی دوگانه استفاده میکند، دادههای قربانیان را قبل از رمزگذاری استخراج میکند و از طریق کانالهای ارتباطی مبتنی بر Tor درخواست پرداخت در بیتکوین میکند. مهاجمان با تهدید به افشای علنی داده های استخراج شده در شبکه Tor و در برخی موارد، تماس مستقیم با سازمان های قربانی شده، فشار را تشدید می کنند.
در پاسخ به این چشمانداز تهدید فزاینده، این مشاوره به مدافعان شبکه شاخصهای سازش (IoC) مرتبط با Akira را همراه با استراتژیهای کاهش توصیهشده برای تقویت دفاع آنها در برابر چنین حملاتی ارائه میدهد.