Akira lunavara taga olevad küberkelmid teenisid ühe aastaga üle 42 miljoni dollari

CISA, FBI, Europoli ja Madalmaade riikliku küberjulgeoleku keskuse (NCSC-NL) aruannete kohaselt on Akira lunavara eest vastutavad küberkurjategijad vaid ühe aastaga kogunud hämmastava summa, üle 42 miljoni dollari. Nende pahatahtlikud tegevused on ohvriks langenud üle 250 üksuse üle maailma, hõlmates mitmesuguseid tööstusharusid, sealhulgas teenuseid, tootmist, haridust, ehitust, kriitilist infrastruktuuri, rahandust, tervishoidu ja õigusvaldkondi.

Algselt piirdudes Windowsi süsteemide sihtimisega, on Akira Ransomware alates 2023. aasta aprillist laiendanud oma haaret, et nakatada VMware ESXi virtuaalmasinaid. Lisaks sellele tugevdati selle arsenali Megazordi integreerimisega alates 2023. aasta augustist, nagu rõhutasid CISA, FBI, Europol ja NCSC-NL hiljutises nõuandes.

Akira Ransomware operaatorid on demonstreerinud keerulist tegutsemisviisi, kasutades ära VPN-teenuste turvaauke, millel puudub mitmefaktoriline autentimine, eriti kasutades ära Cisco toodete, nagu CVE-2020-3259 ja CVE-2023-20269, teadaolevaid nõrkusi. Nad on kasutanud ka selliseid taktikaid nagu kaugtöölauaprotokolli (RDP) tungimine, andmepüügikampaaniad ja kehtivate mandaatide kasutamine ohvrite keskkonda tungimiseks.

Pärast esialgse juurdepääsu saamist näitavad need ohus osalejad täpset püsimisstrateegiat, luues uusi domeenikontosid, eraldades mandaate ning viivad läbi ulatuslikku võrgu ja domeenikontrolleri uurimist. Nõuanne rõhutab märkimisväärset arengut Akira taktikas, mille käigus on ühe rikkumise korral kasutusele võetud kaks erinevat lunavaravarianti erinevate süsteemiarhitektuuride vastu.

Avastamisest kõrvalehoidmiseks ja külgsuunalise liikumise hõlbustamiseks keelavad Akira operaatorid turvatarkvara süstemaatiliselt. Nende tööriistakomplekt sisaldab mitmesuguseid tarkvararakendusi andmete väljafiltreerimiseks ning käsu- ja juhtimissuhtluse loomiseks, sealhulgas FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok ja RustDesk.

Sarnaselt teiste lunavarasündikaatidega kasutab Akira kahekordset väljapressimismudelit, eksfiltreerides ohvrite andmed enne krüptimist ja nõudes Bitcoinis tasumist Tor-põhiste sidekanalite kaudu. Ründajad suurendavad survet veelgi, ähvardades avalikult avalikustada Tor-võrgus väljafiltreeritud andmeid ja mõnel juhul võtta otse ühendust ohvriks langenud organisatsioonidega.

Vastuseks sellele eskaleeruvale ohumaastikule annab nõuanne võrgukaitsjatele Akiraga seotud kompromissinäitajate (IoC) ja soovitatavate leevendusstrateegiate, et tugevdada nende kaitset selliste rünnakute vastu.