Kibernetski prevaranti, ki stojijo za izsiljevalsko programsko opremo Akira, so v enem letu zaslužili več kot 42 milijonov dolarjev
Kibernetski kriminalci, odgovorni za izsiljevalsko programsko opremo Akira, so po poročilih CISA, FBI, Europola in Nizozemskega nacionalnega centra za kibernetsko varnost (NCSC-NL) v samo enem letu zbrali osupljivo vsoto več kot 42 milijonov dolarjev. Njihove zlobne dejavnosti so žrtev več kot 250 subjektov po vsem svetu, ki obsegajo vrsto panog, vključno s storitvami, proizvodnjo, izobraževanjem, gradbeništvom, kritično infrastrukturo, financami, zdravstvenim in pravnim sektorjem.
Izsiljevalska programska oprema Akira, ki je bila sprva omejena na sisteme Windows, je od aprila 2023 razširila svoj doseg in okužila virtualne stroje VMware ESXi. Poleg tega je bil njen arzenal okrepljen z integracijo Megazord od avgusta 2023, kot so poudarili CISA, FBI, Europol in NCSC-NL v nedavnem svetovanju.
Operaterji izsiljevalske programske opreme Akira so pokazali prefinjen način delovanja, pri čemer izkoriščajo ranljivosti v storitvah VPN, ki nimajo večfaktorske avtentikacije, zlasti izkoriščajo znane slabosti v izdelkih Cisco, kot sta CVE-2020-3259 in CVE-2023-20269. Uporabili so tudi taktike, kot so infiltracija protokola oddaljenega namizja (RDP), kampanje lažnega predstavljanja in uporaba veljavnih poverilnic za infiltracijo v okolja žrtev.
Po pridobitvi začetnega dostopa ti akterji groženj pokažejo natančne vztrajne strategije, ustvarjajo nove domenske račune, pridobivajo poverilnice in izvajajo obsežno izvidovanje omrežja in krmilnika domene. Nasvet poudarja pomemben razvoj Akirine taktike z uvedbo dveh različnih različic izsiljevalske programske opreme proti različnim sistemskim arhitekturam v enem dogodku vdora.
V želji, da bi se izognili odkrivanju in olajšali bočno gibanje, operaterji Akire sistematično onemogočajo varnostno programsko opremo. Njihov nabor orodij vključuje vrsto programskih aplikacij za ekstrakcijo podatkov in vzpostavitev ukazno-nadzorne komunikacije, vključno s FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok in RustDesk.
Podobno kot drugi sindikati izsiljevalske programske opreme , Akira sprejme model dvojnega izsiljevanja, pri čemer izloči podatke žrtev pred šifriranjem in zahteva plačilo v bitcoinih prek komunikacijskih kanalov, ki temeljijo na Tor. Napadalci dodatno stopnjujejo pritisk z grožnjami, da bodo javno razkrili eksfiltrirane podatke v omrežju Tor in, v nekaterih primerih, z neposrednim stikom z žrtev organizacij.
Kot odgovor na to naraščajočo pokrajino groženj svetovalci zagovornikom omrežja posredujejo indikatorje ogroženosti (IoC), povezane z Akiro, skupaj s priporočenimi strategijami ublažitve za okrepitev njihove obrambe pred takšnimi napadi.