Akira 랜섬웨어 배후의 사이버 사기꾼은 1년에 4,200만 달러 이상의 수익을 올렸습니다.

CISA, FBI, Europol 및 네덜란드 국립사이버보안센터(NCSC-NL)의 보고서에 따르면 Akira 랜섬웨어를 담당하는 사이버 범죄자들은 단 1년 만에 4,200만 달러가 넘는 엄청난 금액을 모았습니다. 이들의 사악한 활동으로 인해 서비스, 제조, 교육, 건설, 중요 인프라, 금융, 의료, 법률 부문을 비롯한 다양한 산업에 걸쳐 전 세계 250개 이상의 기업이 피해를 입었습니다.

처음에는 Windows 시스템을 표적으로 삼는 데 국한되었던 Akira 랜섬웨어는 2023년 4월부터 VMware ESXi 가상 머신을 감염시키기 위해 그 범위를 확장했습니다. 또한 CISA, FBI, Europol 및 최근 자문에서 NCSC-NL.

Akira Ransomware의 운영자는 다단계 인증이 부족한 VPN 서비스의 취약점, 특히 CVE-2020-3259 및 CVE-2023-20269와 같은 Cisco 제품의 알려진 약점을 활용하여 정교한 작업 방식을 보여주었습니다. 또한 RDP(원격 데스크톱 프로토콜) 침투, 스피어 피싱 캠페인, 유효한 자격 증명을 활용하여 피해자 환경에 침투하는 등의 전술을 사용했습니다.

초기 액세스 권한을 얻은 후 이러한 위협 행위자는 새로운 도메인 계정 생성, 자격 증명 추출, 광범위한 네트워크 및 도메인 컨트롤러 정찰 수행 등 세심한 지속 전략을 선보입니다. 이 권고는 단일 위반 이벤트 내에서 서로 다른 시스템 아키텍처에 대해 두 가지 랜섬웨어 변종을 배포하는 등 Akira 전술의 눈에 띄는 발전을 강조합니다.

탐지를 피하고 측면 이동을 촉진하기 위해 Akira 운영자는 체계적으로 보안 소프트웨어를 비활성화합니다. 툴킷에는 FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok 및 RustDesk를 포함하여 데이터 추출 및 명령 및 제어 통신 설정을 위한 다양한 소프트웨어 애플리케이션이 포함되어 있습니다.

다른 랜섬웨어 신디케이트 와 유사하게 Akira는 이중 갈취 모델을 채택하여 암호화하기 전에 피해자의 데이터를 유출하고 Tor 기반 통신 채널을 통해 비트코인으로 지불을 요구합니다. 공격자는 Tor 네트워크에서 유출된 데이터를 공개적으로 공개하겠다고 위협하고 경우에 따라 피해 조직에 직접 연락하여 압력을 더욱 강화합니다.

이렇게 증가하는 위협 환경에 대응하여 권고 사항은 네트워크 방어자에게 Akira와 관련된 손상 지표(IoC)와 그러한 공격에 대한 방어를 강화하기 위한 권장 완화 전략을 제공합니다.