Cyberprevaranti koji stoje iza Akira Ransomwarea zaradili su preko 42 milijuna dolara u jednoj godini
Kibernetički kriminalci odgovorni za Akira Ransomware prikupili su nevjerojatnu svotu od preko 42 milijuna dolara u samo godinu dana, prema izvješćima CISA-e, FBI-a, Europola i nizozemskog Nacionalnog centra za kibernetičku sigurnost (NCSC-NL). Njihove zle aktivnosti viktimizirale su više od 250 subjekata diljem svijeta, obuhvaćajući niz industrija uključujući usluge, proizvodnju, obrazovanje, građevinarstvo, kritičnu infrastrukturu, financije, zdravstvenu skrb i pravne sektore.
U početku ograničen na ciljanje Windows sustava, Akira Ransomware je od travnja 2023. proširio svoj doseg na zarazu virtualnih strojeva VMware ESXi. Štoviše, njegov je arsenal pojačan integracijom Megazorda od kolovoza 2023., kao što su istaknuli CISA, FBI, Europol i NCSC-NL u nedavnom savjetovanju.
Operateri Akira Ransomwarea demonstrirali su sofisticirani modus operandi, iskorištavajući ranjivosti u VPN uslugama kojima nedostaje autentifikacija s više faktora, posebno koristeći poznate slabosti u Cisco proizvodima kao što su CVE-2020-3259 i CVE-2023-20269. Također su primijenili taktike kao što su infiltracija protokola udaljene radne površine (RDP), kampanje krađe identiteta i korištenje valjanih vjerodajnica za infiltraciju u okruženja žrtava.
Nakon dobivanja početnog pristupa, ovi akteri prijetnji pokazuju precizne strategije ustrajnosti, stvaraju nove račune domene, izvlače vjerodajnice i provode opsežno izviđanje mreže i kontrolera domene. Savjet naglašava značajnu evoluciju u Akirinoj taktici, s primjenom dviju različitih varijanti ransomwarea protiv različitih arhitektura sustava unutar jednog događaja kršenja.
U pokušaju da izbjegnu otkrivanje i olakšaju bočno kretanje, operateri Akire sustavno onemogućuju sigurnosni softver. Njihov skup alata uključuje niz softverskih aplikacija za eksfiltraciju podataka i uspostavljanje komandno-kontrolne komunikacije, uključujući FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok i RustDesk.
Slično drugim sindikatima ransomwarea , Akira usvaja dvostruki model iznude, eksfiltrirajući podatke žrtava prije enkripcije i zahtijevajući plaćanje u Bitcoinima putem komunikacijskih kanala temeljenih na Tor-u. Napadači dodatno eskaliraju pritisak prijetnjom da će javno otkriti eksfiltrirane podatke na Tor mreži i, u nekim slučajevima, izravnim kontaktiranjem viktimiziranih organizacija.
Kao odgovor na ovaj krajolik eskalacije prijetnji, savjetodavna zaštita daje mrežnim braniteljima pokazatelje kompromitacije (IoC) povezane s Akirom, zajedno s preporučenim strategijama ublažavanja za jačanje njihove obrane od takvih napada.