Kybernetičtí podvodníci za Akira Ransomware vydělali více než 42 milionů dolarů za jeden rok

Podle zpráv CISA, FBI, Europolu a nizozemského Národního centra pro kybernetickou bezpečnost (NCSC-NL) kyberzločinci zodpovědní za Akira Ransomware nashromáždili během jediného roku ohromující částku přes 42 milionů dolarů. Jejich hanebné aktivity se staly obětí více než 250 subjektů po celém světě, zahrnujících řadu průmyslových odvětví včetně služeb, výroby, vzdělávání, stavebnictví, kritické infrastruktury, financí, zdravotnictví a právního sektoru.

Zpočátku se Akira Ransomware omezoval na cílení na systémy Windows, ale od dubna 2023 rozšířil svůj dosah na infikování virtuálních strojů VMware ESXi. Navíc byl jeho arzenál posílen integrací Megazordu od srpna 2023, jak zdůraznily CISA, FBI, Europol a NCSC-NL v nedávném poradenství.

Provozovatelé Akira Ransomware prokázali sofistikovaný modus operandi, využívající zranitelnosti ve službách VPN postrádajících vícefaktorovou autentizaci, zejména využívající známé slabiny produktů Cisco, jako jsou CVE-2020-3259 a CVE-2023-20269. Použili také taktiky, jako je infiltrace protokolu vzdálené plochy (RDP), kampaně spear-phishing a využití platných přihlašovacích údajů k infiltraci do prostředí obětí.

Po získání počátečního přístupu tito aktéři hrozeb projevují pečlivé strategie vytrvalosti, vytvářejí nové doménové účty, extrahují přihlašovací údaje a provádějí rozsáhlý průzkum sítě a řadiče domény. Toto upozornění podtrhuje pozoruhodný vývoj v Akirově taktice s nasazením dvou odlišných variant ransomwaru proti různým systémovým architekturám v rámci jediné události narušení.

Ve snaze vyhnout se detekci a usnadnit boční pohyb operátoři Akira systematicky deaktivují bezpečnostní software. Jejich sada nástrojů zahrnuje řadu softwarových aplikací pro exfiltraci dat a navázání komunikace příkazů a řízení, včetně FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok a RustDesk.

Podobně jako jiné syndikáty ransomwaru využívá Akira model duálního vydírání, který exfiltruje data obětí před zašifrováním a požaduje platbu v bitcoinech prostřednictvím komunikačních kanálů založených na Tor. Útočníci dále eskalují tlak tím, že vyhrožují veřejným zveřejněním exfiltrovaných dat v síti Tor a v některých případech přímo kontaktují viktimizované organizace.

V reakci na toto eskalující prostředí hrozeb poskytuje poradenství obráncům sítě indikátory kompromisu (IoC) spojené s Akirou spolu s doporučenými strategiemi zmírňování, které posílí jejich obranu proti takovým útokům.