„Cybercrooks Behind the Akira Ransomware“ per vienerius metus uždirbo daugiau nei 42 mln

Remiantis CISA, FTB, Europolo ir Nyderlandų nacionalinio kibernetinio saugumo centro (NCSC-NL) ataskaitomis, kibernetiniai nusikaltėliai, atsakingi už Akira Ransomware, vos per vienerius metus surinko stulbinančią daugiau nei 42 milijonų dolerių sumą. Dėl jų niekšiškos veiklos nukentėjo daugiau nei 250 subjektų visame pasaulyje, apimančių įvairias pramonės šakas, įskaitant paslaugų, gamybos, švietimo, statybos, ypatingos svarbos infrastruktūros, finansų, sveikatos priežiūros ir teisinius sektorius.

Iš pradžių apsiribodama „Windows“ sistemomis, „Akira Ransomware“ išplėtė savo pasiekiamumą, kad užkrėstų VMware ESXi virtualias mašinas nuo 2023 m. balandžio mėn. Be to, jos arsenalas buvo sustiprintas integravus „Megazord“ nuo 2023 m. rugpjūčio mėn., kaip pabrėžė CISA, FTB, Europolas ir NCSC-NL neseniai pateiktame patarime.

„Akira Ransomware“ operatoriai demonstravo sudėtingą veikimo būdą, išnaudodami VPN paslaugų spragas, kuriose nėra kelių veiksnių autentifikavimo, ypač išnaudodami žinomas „Cisco“ produktų, tokių kaip CVE-2020-3259 ir CVE-2023-20269, trūkumus. Jie taip pat taikė tokias taktikas kaip nuotolinio darbalaukio protokolo (RDP) įsiskverbimas, sukčiavimo spygliuočių kampanijas ir galiojančių kredencialų panaudojimą, kad įsiskverbtų į aukų aplinką.

Įgavę pradinę prieigą, šie grėsmės veikėjai demonstruoja kruopščias atkaklumo strategijas, kuria naujas domeno paskyras, išgauna kredencialus ir atlieka plačią tinklo ir domeno valdiklio žvalgybą. Šis patarimas pabrėžia reikšmingą Akiros taktikos evoliuciją, kai per vieną pažeidimo įvykį buvo diegiami du skirtingi išpirkos reikalaujančių programų variantai prieš skirtingas sistemų architektūras.

Siekdami išvengti aptikimo ir palengvinti judėjimą į šoną, „Akira“ operatoriai sistemingai išjungia saugos programinę įrangą. Jų įrankių rinkinyje yra daugybė programinės įrangos programų, skirtų duomenų išfiltravimui ir komandų ir valdymo ryšiui sukurti, įskaitant FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare tunelį, MobaXterm, Ngrok ir RustDesk.

Panašiai kaip ir kiti išpirkos reikalaujantys sindikatai , Akira taiko dvigubo turto prievartavimo modelį, išfiltruodamas aukų duomenis prieš šifravimą ir reikalaudamas sumokėti Bitcoin per Tor pagrindu veikiančius ryšio kanalus. Užpuolikai dar labiau padidina spaudimą grasindami viešai atskleisti išfiltruotus duomenis Tor tinkle ir kai kuriais atvejais tiesiogiai susisiekdami su nukentėjusiomis organizacijomis.

Reaguojant į šią didėjančią grėsmių aplinką, patarime tinklo gynėjams pateikiami su Akira susiję kompromiso (IoC) rodikliai ir rekomenduojamos mažinimo strategijos, kaip sustiprinti jų apsaugą nuo tokių atakų.