Киберпрестъпниците, стоящи зад рансъмуера Akira, направиха над 42 милиона долара за една година

Киберпрестъпниците, отговорни за Akira Ransomware, са натрупали зашеметяващата сума от над 42 милиона долара само за една година, според доклади на CISA, ФБР, Европол и Холандския национален център за киберсигурност (NCSC-NL). Техните престъпни дейности са станали жертва на повече от 250 субекта по целия свят, обхващащи редица индустрии, включително услуги, производство, образование, строителство, критична инфраструктура, финанси, здравеопазване и правни сектори.

Първоначално ограничен до насочване към Windows системи, Akira Ransomware разшири обхвата си, за да зарази виртуални машини VMware ESXi от април 2023 г. Освен това арсеналът му беше подсилен с интегрирането на Megazord от август 2023 г., както беше подчертано от CISA, ФБР, Европол и NCSC-NL в скорошен съвет.

Операторите на Akira Ransomware демонстрираха усъвършенстван начин на действие, използвайки уязвимости в VPN услуги, които нямат многофакторно удостоверяване, по-специално използвайки известни слабости в продукти на Cisco като CVE-2020-3259 и CVE-2023-20269. Те също така са използвали тактики като проникване на протокол за отдалечен работен плот (RDP), фишинг кампании и използване на валидни идентификационни данни за проникване в средата на жертвите.

След като получат първоначален достъп, тези участници в заплахата показват щателни стратегии за устойчивост, създавайки нови акаунти на домейн, извличайки идентификационни данни и провеждайки широко разузнаване на мрежата и домейн контролера. Препоръката подчертава забележителна еволюция в тактиката на Akira, с внедряването на два различни варианта на ransomware срещу различни системни архитектури в рамките на едно събитие за пробив.

В опит да избегнат откриването и да улеснят страничното движение, операторите на Akira систематично деактивират софтуера за сигурност. Техният набор от инструменти включва набор от софтуерни приложения за ексфилтриране на данни и установяване на командно-контролна комуникация, включително FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok и RustDesk.

Подобно на други синдикати за рансъмуер , Akira възприема двоен модел на изнудване, ексфилтрирайки данните на жертвите преди криптиране и изисквайки плащане в биткойни чрез комуникационни канали, базирани на Tor. Нападателите допълнително ескалират натиска, като заплашват да разкрият публично ексфилтрирани данни в мрежата Tor и, в някои случаи, директно се свързват с жертвени организации.

В отговор на тази ескалираща среда на заплахи, съветът предоставя на мрежовите защитници индикатори за компрометиране (IoC), свързани с Akira, заедно с препоръчани стратегии за смекчаване, за да подсилят защитата им срещу подобни атаки.