अकीरा रैनसमवेयर के पीछे साइबर अपराधियों ने एक साल में 42 मिलियन डॉलर से अधिक कमाए

CISA, FBI, यूरोपोल और नीदरलैंड के नेशनल साइबर सिक्योरिटी सेंटर (NCSC-NL) की रिपोर्ट के अनुसार, अकीरा रैनसमवेयर के लिए जिम्मेदार साइबर अपराधियों ने सिर्फ़ एक साल के भीतर 42 मिलियन डॉलर से ज़्यादा की चौंका देने वाली रकम जमा कर ली है। उनकी नापाक गतिविधियों ने दुनिया भर में 250 से ज़्यादा संस्थाओं को शिकार बनाया है, जो सेवाओं, विनिर्माण, शिक्षा, निर्माण, महत्वपूर्ण बुनियादी ढाँचे, वित्त, स्वास्थ्य सेवा और कानूनी क्षेत्रों सहित कई उद्योगों में फैली हुई हैं।

शुरुआत में विंडोज सिस्टम को लक्षित करने तक सीमित, अकीरा रैनसमवेयर ने अप्रैल 2023 से VMware ESXi वर्चुअल मशीनों को संक्रमित करने के लिए अपनी पहुंच का विस्तार किया है। इसके अलावा, अगस्त 2023 से शुरू होने वाले मेगाज़ॉर्ड के एकीकरण के साथ इसके शस्त्रागार को मजबूत किया गया था, जैसा कि हाल ही में एक सलाह में CISA, FBI, यूरोपोल और NCSC-NL द्वारा उजागर किया गया था।

अकीरा रैनसमवेयर के संचालकों ने बहु-कारक प्रमाणीकरण की कमी वाली VPN सेवाओं में कमज़ोरियों का फ़ायदा उठाते हुए एक परिष्कृत कार्यप्रणाली का प्रदर्शन किया है, विशेष रूप से CVE-2020-3259 और CVE-2023-20269 जैसे सिस्को उत्पादों में ज्ञात कमज़ोरियों का फ़ायदा उठाया है। उन्होंने पीड़ितों के वातावरण में घुसपैठ करने के लिए रिमोट डेस्कटॉप प्रोटोकॉल (RDP) घुसपैठ, स्पीयर-फ़िशिंग अभियान और वैध क्रेडेंशियल्स के उपयोग जैसी रणनीतियाँ भी अपनाई हैं।

प्रारंभिक पहुँच प्राप्त करने के बाद, ये ख़तरा पैदा करने वाले लोग सावधानीपूर्वक दृढ़ता की रणनीति का प्रदर्शन करते हैं, नए डोमेन खाते बनाते हैं, क्रेडेंशियल निकालते हैं, और व्यापक नेटवर्क और डोमेन नियंत्रक टोही का संचालन करते हैं। सलाह में अकीरा की रणनीति में उल्लेखनीय विकास को रेखांकित किया गया है, जिसमें एक ही उल्लंघन घटना के भीतर विभिन्न सिस्टम आर्किटेक्चर के खिलाफ़ दो अलग-अलग रैनसमवेयर वेरिएंट की तैनाती की गई है।

पता लगाने से बचने और पार्श्व आंदोलन को सुविधाजनक बनाने के लिए, अकीरा ऑपरेटर व्यवस्थित रूप से सुरक्षा सॉफ़्टवेयर को अक्षम करते हैं। उनके टूलकिट में डेटा एक्सफ़िलट्रेशन और कमांड-एंड-कंट्रोल संचार स्थापित करने के लिए कई सॉफ़्टवेयर एप्लिकेशन शामिल हैं, जिनमें FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok और RustDesk शामिल हैं।

अन्य रैनसमवेयर सिंडिकेट की तरह, अकीरा भी एक दोहरी जबरन वसूली मॉडल अपनाता है, एन्क्रिप्शन से पहले पीड़ितों के डेटा को निकालता है और टोर-आधारित संचार चैनलों के माध्यम से बिटकॉइन में भुगतान की मांग करता है। हमलावर टोर नेटवर्क पर निकाले गए डेटा को सार्वजनिक रूप से प्रकट करने और कुछ मामलों में, पीड़ित संगठनों से सीधे संपर्क करने की धमकी देकर दबाव को और बढ़ाते हैं।

इस बढ़ते खतरे के परिदृश्य के जवाब में, परामर्श में नेटवर्क रक्षकों को अकीरा से जुड़े खतरे के संकेतक (आईओसी) उपलब्ध कराए गए हैं, साथ ही ऐसे हमलों के खिलाफ उनकी सुरक्षा को मजबूत करने के लिए अनुशंसित शमन रणनीतियों की भी जानकारी दी गई है।