Кібершахраї, що стоять за програмою-вимагачем Akira, за рік заробили понад 42 мільйони доларів

Відповідно до звітів CISA, ФБР, Європолу та Національного центру кібербезпеки Нідерландів (NCSC-NL), кіберзлочинці, відповідальні за програму-вимагач Akira, накопичили приголомшливу суму понад 42 мільйони доларів лише за один рік. Жертвами їхньої мерзенної діяльності стали понад 250 організацій у всьому світі, які охоплюють низку галузей, включаючи послуги, виробництво, освіту, будівництво, критичну інфраструктуру, фінанси, охорону здоров’я та юридичні сектори.

Програмне забезпечення-вимагач Akira, яке спочатку обмежувалося націлюванням на системи Windows, з квітня 2023 року розширило своє охоплення й заразило віртуальні машини VMware ESXi. Крім того, із серпня 2023 року його арсенал було збільшено за рахунок інтеграції Megazord, як підкреслили CISA, ФБР, Європол та інші. NCSC-NL в нещодавньому повідомленні.

Оператори Akira Ransomware продемонстрували складний спосіб дії, використовуючи вразливості в службах VPN, які не мають багатофакторної автентифікації, зокрема використовуючи відомі недоліки в продуктах Cisco, таких як CVE-2020-3259 і CVE-2023-20269. Вони також використовували такі тактики, як проникнення протоколу віддаленого робочого столу (RDP), кампанії з підриву фішингу та використання дійсних облікових даних для проникнення в середовище жертв.

Отримавши початковий доступ, ці суб’єкти загрози демонструють ретельні стратегії стійкості, створюючи нові облікові записи домену, витягуючи облікові дані та проводячи масштабну розвідку мережі та контролерів домену. Повідомлення підкреслює значну еволюцію в тактиці Акіри з розгортанням двох різних варіантів програм-вимагачів проти різних системних архітектур під час одного порушення.

Намагаючись уникнути виявлення та полегшити бічний рух, оператори Akira систематично відключають програмне забезпечення безпеки. Їхній набір інструментів включає ряд програмних додатків для викрадання даних і встановлення командно-контрольного зв’язку, включаючи FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok і RustDesk.

Подібно до інших синдикатів програм-вимагачів , Akira використовує подвійну модель вимагання, викрадаючи дані жертв перед шифруванням і вимагаючи оплати в біткойнах через канали зв’язку на основі Tor. Зловмисники ще більше посилюють тиск, погрожуючи публічно оприлюднити викрадені дані в мережі Tor, а в деяких випадках безпосередньо зв’язуючись із постраждалими організаціями.

У відповідь на цю ескалацію ландшафту загроз консультація надає мережевим захисникам індикатори компрометації (IoC), пов’язані з Akira, разом із рекомендованими стратегіями пом’якшення, щоб зміцнити їхній захист від таких атак.