Cybercrooks Pas Ransomware Akira fituan mbi 42 milion dollarë në një vit
Kriminelët kibernetikë përgjegjës për Akira Ransomware kanë grumbulluar një shumë marramendëse prej mbi 42 milionë dollarë brenda vetëm një viti, sipas raporteve nga CISA, FBI, Europol dhe Qendra Kombëtare e Sigurisë Kibernetike e Holandës (NCSC-NL). Aktivitetet e tyre të mbrapshta kanë viktimizuar më shumë se 250 entitete në mbarë botën, duke përfshirë një sërë industrish duke përfshirë shërbimet, prodhimin, arsimin, ndërtimin, infrastrukturën kritike, financën, kujdesin shëndetësor dhe sektorët ligjorë.
Fillimisht i kufizuar në shënjestrimin e sistemeve Windows, Akira Ransomware ka zgjeruar shtrirjen e tij për të infektuar makinat virtuale VMware ESXi që nga prilli 2023. Për më tepër, arsenali i tij u forcua me integrimin e Megazord duke filluar nga gushti 2023, siç theksohet nga CISA, FBI, Europol, dhe NCSC-NL në një këshillë të fundit.
Operatorët e Akira Ransomware kanë demonstruar një modus operandi të sofistikuar, duke shfrytëzuar dobësitë në shërbimet VPN që u mungon vërtetimi me shumë faktorë, veçanërisht duke shfrytëzuar dobësitë e njohura në produktet Cisco si CVE-2020-3259 dhe CVE-2023-20269. Ata kanë përdorur gjithashtu taktika të tilla si infiltrimi i protokollit të desktopit në distancë (RDP), fushatat spear-phishing dhe përdorimin e kredencialeve të vlefshme për të depërtuar në mjediset e viktimave.
Pas fitimit të aksesit fillestar, këta aktorë kërcënimi shfaqin strategji të përpikta të qëndrueshmërisë, duke krijuar llogari të reja domenesh, duke nxjerrë kredencialet dhe duke kryer zbulim të gjerë të rrjetit dhe kontrolluesit të domenit. Këshillimi nënvizon një evolucion të dukshëm në taktikat e Akira, me vendosjen e dy varianteve të dallueshme të ransomware kundër arkitekturave të ndryshme të sistemit brenda një ngjarje të vetme shkeljeje.
Në një përpjekje për të shmangur zbulimin dhe për të lehtësuar lëvizjen anësore, operatorët Akira çaktivizojnë sistematikisht softuerin e sigurisë. Paketa e tyre e veglave përfshin një sërë aplikacionesh softuerësh për nxjerrjen e të dhënave dhe vendosjen e komunikimit të komandës dhe kontrollit, duke përfshirë FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok dhe RustDesk.
Ngjashëm me sindikatat e tjera të ransomware , Akira miraton një model zhvatjeje të dyfishtë, duke nxjerrë të dhënat e viktimave përpara kriptimit dhe duke kërkuar pagesë në Bitcoin përmes kanaleve të komunikimit të bazuara në Tor. Sulmuesit e përshkallëzojnë më tej presionin duke kërcënuar se do të zbulojnë publikisht të dhëna të ekfiltruara në rrjetin Tor dhe, në disa raste, duke kontaktuar drejtpërdrejt me organizatat e viktimizuara.
Në përgjigje të këtij peizazhi të përshkallëzuar të kërcënimit, këshillimi u siguron mbrojtësve të rrjetit tregues të kompromisit (IoC) të lidhur me Akira, së bashku me strategjitë e rekomanduara zbutëse për të forcuar mbrojtjen e tyre kundër sulmeve të tilla.