Cybercrooks Behind the Akira Ransomware ansaitsi yli 42 miljoonaa dollaria yhdessä vuodessa

CISA:n, FBI:n, Europolin ja Alankomaiden kansallisen kyberturvallisuuskeskuksen (NCSC-NL) raporttien mukaan Akira Ransomwaresta vastuussa olevat kyberrikolliset ovat keränneet huikean yli 42 miljoonan dollarin summan vain vuodessa. Heidän ilkeä toimintansa on joutunut uhriksi yli 250 yksikön uhriksi maailmanlaajuisesti, ja ne kattavat useita toimialoja, kuten palveluja, valmistusta, koulutusta, rakentamista, kriittistä infrastruktuuria, rahoitusta, terveydenhuoltoa ja lakia.

Alun perin Windows-järjestelmiin kohdistuva Akira Ransomware on laajentanut kattavuuttaan saastuttaa VMware ESXi -virtuaalikoneita huhtikuusta 2023 lähtien. Lisäksi sen arsenaalia vahvistettiin Megazordin integroinnilla elokuusta 2023 alkaen, kuten CISA, FBI, Europol ja Europol ovat korostaneet. NCSC-NL tuoreessa neuvolassa.

Akira Ransomwaren operaattorit ovat osoittaneet kehittynyttä toimintatapaa hyödyntäen haavoittuvuuksia VPN-palveluissa, joista puuttuu monitekijätodennus, erityisesti hyödyntäen tunnettuja heikkouksia Ciscon tuotteissa, kuten CVE-2020-3259 ja CVE-2023-20269. He ovat myös käyttäneet taktiikoita, kuten etätyöpöytäprotokollan (RDP) tunkeutumista, keihäänkalastelukampanjoita ja kelvollisten valtuustietojen käyttöä uhrien ympäristöön tunkeutumiseen.

Saatuaan ensimmäisen käyttöoikeuden näillä uhkatoimijoilla on tarkkoja pysyvyysstrategioita, jotka luovat uusia toimialuetilejä, poimivat valtuustietoja ja suorittavat laajan verkon ja toimialueen ohjainten tutkimisen. Neuvonnassa korostetaan Akiran taktiikan huomattavaa kehitystä, kun kaksi erillistä kiristysohjelmaversiota on otettu käyttöön eri järjestelmäarkkitehtuureja vastaan yhden rikkomustapahtuman aikana.

Välttääkseen havaitsemisen ja helpottaakseen sivuttaisliikettä Akira-operaattorit poistavat järjestelmällisesti tietoturvaohjelmiston käytöstä. Heidän työkalupakkinsa sisältää valikoiman ohjelmistosovelluksia tietojen suodattamiseen ja komento- ja ohjausviestinnän luomiseen, mukaan lukien FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok ja RustDesk.

Muiden lunnasohjelmasyndikaattien tapaan Akira ottaa käyttöön kaksoiskiristysmallin, suodattaa uhrien tiedot ennen salausta ja vaatii maksua Bitcoinissa Tor-pohjaisten viestintäkanavien kautta. Hyökkääjät lisäävät painetta entisestään uhkaamalla paljastaa Tor-verkossa suodatettuja tietoja ja joissakin tapauksissa ottamalla suoraan yhteyttä uhriksi joutuneisiin organisaatioihin.

Vastauksena tähän lisääntyvään uhkakuvaan, neuvonta antaa verkon puolustajille Akiraan liittyviä kompromissiindikaattoreita (IoC) sekä suositeltuja lieventämisstrategioita, joilla vahvistetaan heidän puolustustaan tällaisia hyökkäyksiä vastaan.