Kybernetickí podvodníci za Akira Ransomware zarobili viac ako 42 miliónov dolárov za jeden rok

Podľa správ CISA, FBI, Europolu a holandského Národného centra kybernetickej bezpečnosti (NCSC-NL) kyberzločinci zodpovední za Akira Ransomware nazhromaždili za jediný rok ohromujúcu sumu viac ako 42 miliónov dolárov. Ich hanebné aktivity sa stali obeťami viac ako 250 subjektov po celom svete, ktoré pokrývajú celý rad odvetví vrátane služieb, výroby, vzdelávania, stavebníctva, kritickej infraštruktúry, financií, zdravotníctva a právnych sektorov.

Akira Ransomware, pôvodne obmedzený na zacielenie na systémy Windows, rozšíril svoj dosah na infikovanie virtuálnych strojov VMware ESXi od apríla 2023. Navyše, jeho arzenál bol posilnený integráciou Megazordu od augusta 2023, ako zdôraznili CISA, FBI, Europol a NCSC-NL v nedávnom odporúčaní.

Prevádzkovatelia Akira Ransomware preukázali sofistikovaný spôsob fungovania, využívajúci zraniteľné miesta v službách VPN, ktorým chýba viacfaktorová autentifikácia, najmä využívaním známych slabín produktov Cisco, ako sú CVE-2020-3259 a CVE-2023-20269. Použili tiež taktiky, ako je infiltrácia protokolu vzdialenej pracovnej plochy (RDP), kampane spear-phishing a využitie platných poverení na infiltráciu prostredí obetí.

Po získaní počiatočného prístupu títo aktéri hrozieb prejavujú starostlivé stratégie vytrvalosti, vytvárajú nové doménové účty, získavajú poverenia a vykonávajú rozsiahly prieskum siete a radiča domény. Poradenstvo podčiarkuje pozoruhodný vývoj v Akirovej taktike s nasadením dvoch odlišných variantov ransomvéru proti rôznym systémovým architektúram v rámci jednej udalosti narušenia.

V snahe vyhnúť sa detekcii a uľahčiť bočný pohyb operátori Akira systematicky deaktivujú bezpečnostný softvér. Ich sada nástrojov obsahuje celý rad softvérových aplikácií na exfiltráciu údajov a nadviazanie komunikácie príkazov a riadenia, vrátane FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok a RustDesk.

Podobne ako iné syndikáty ransomvéru , aj Akira používa model dvojitého vydierania, ktorý exfiltruje údaje obetí pred zašifrovaním a požaduje platbu v bitcoinoch prostredníctvom komunikačných kanálov založených na Tor. Útočníci ďalej eskalujú tlak hrozbou zverejnenia exfiltrovaných údajov v sieti Tor a v niektorých prípadoch aj priamym kontaktovaním viktimizovaných organizácií.

V reakcii na túto eskaláciu hrozieb poskytuje poradenstvo obrancom siete indikátory kompromisu (IoC) spojené s Akirou spolu s odporúčanými stratégiami na zmiernenie, aby sa posilnila ich ochrana proti takýmto útokom.