Сајбер-лопови иза Акира Рансомваре-а зарадили су преко 42 милиона долара у једној години

Сајбер криминалци одговорни за Акира Рансомваре прикупили су запањујућу суму од преко 42 милиона долара за само годину дана, према извештајима ЦИСА, ФБИ, Европола и Холандског Националног центра за сајбер безбедност (НЦСЦ-НЛ). Њихове подле активности су виктимизирале више од 250 субјеката широм света, обухватајући низ индустрија укључујући услуге, производњу, образовање, грађевинарство, критичну инфраструктуру, финансије, здравствену заштиту и правни сектор.

У почетку ограничен на циљање Виндовс система, Акира Рансомваре је проширио свој домет да зарази ВМваре ЕСКСи виртуелне машине од априла 2023. Штавише, његов арсенал је ојачан интеграцијом Мегазорда почевши од августа 2023, као што су истакли ЦИСА, ФБИ, Еуропол и НЦСЦ-НЛ у недавном саветовању.

Оператери Акира Рансомваре-а су демонстрирали софистицирани начин рада, искоришћавајући рањивости у ВПН услугама којима недостаје вишефакторска аутентикација, посебно користећи познате слабости у Цисцо производима као што су ЦВЕ-2020-3259 и ЦВЕ-2023-20269. Такође су користили тактике као што су инфилтрација протокола удаљене радне површине (РДП), кампање пхисхинг-а и коришћење валидних акредитива за инфилтрирање у окружења жртава.

Након добијања почетног приступа, ови актери претњи показују прецизне стратегије постојаности, креирајући нове налоге домена, извлачећи акредитиве и спроводе опсежно извиђање мреже и контролера домена. Упозорење наглашава значајну еволуцију Акирине тактике, са применом две различите варијанте рансомваре-а против различитих системских архитектура у оквиру једног догађаја кршења.

У покушају да избегну откривање и олакшају бочно кретање, Акира оператери систематски онемогућавају безбедносни софтвер. Њихов комплет алата укључује низ софтверских апликација за ексфилтрацију података и успостављање командно-контролне комуникације, укључујући ФилеЗилла, ВинРАР, ВинСЦП, РЦлоне, АниДеск, Цлоудфларе Туннел, МобаКстерм, Нгрок и РустДеск.

Слично другим синдикатима рансомваре-а , Акира усваја двоструки модел изнуде, ексфилтрирајући податке жртава пре шифровања и захтевајући плаћање у Битцоин-у преко комуникационих канала заснованих на Тор-у. Нападачи додатно ескалирају притисак претећи да ће јавно открити ексфилтриране податке на Тор мрежи и, у неким случајевима, директно контактирати виктимизоване организације.

Као одговор на ову ескалирајућу претњу, саветодавац пружа заштитницима мреже индикаторе компромиса (ИоЦс) повезане са Акиром, заједно са препорученим стратегијама ублажавања како би ојачали своју одбрану од таквих напада.