Kibercrooks aiz Akira Ransomware viena gada laikā nopelnīja vairāk nekā 42 miljonus USD

Saskaņā ar CISA, FIB, Eiropola un Nīderlandes Nacionālā kiberdrošības centra (NCSC-NL) ziņojumiem kibernoziedznieki, kas ir atbildīgi par Akira Ransomware, tikai viena gada laikā ir uzkrājuši satriecošu summu vairāk nekā 42 miljonu ASV dolāru apmērā. Viņu nežēlīgās darbības ir cietušas vairāk nekā 250 uzņēmumu visā pasaulē, aptverot dažādas nozares, tostarp pakalpojumu, ražošanas, izglītības, būvniecības, kritiskās infrastruktūras, finanšu, veselības aprūpes un juridiskās nozares.

Sākotnēji tas bija paredzēts tikai Windows sistēmām, un kopš 2023. gada aprīļa Akira Ransomware ir paplašinājis savu sasniedzamību, inficējot VMware ESXi virtuālās mašīnas. Turklāt tā arsenāls tika papildināts ar Megazord integrāciju, sākot no 2023. gada augusta, kā uzsvēra CISA, FIB, Eiropols un NCSC-NL nesenā ieteikumā.

Akira Ransomware operatori ir demonstrējuši izsmalcinātu darbības veidu, izmantojot VPN pakalpojumu ievainojamības, kurām trūkst daudzfaktoru autentifikācijas, īpaši izmantojot zināmās nepilnības Cisco produktos, piemēram, CVE-2020-3259 un CVE-2023-20269. Viņi ir arī izmantojuši tādas taktikas kā attālās darbvirsmas protokola (RDP) infiltrācija, šķēpu pikšķerēšanas kampaņas un derīgu akreditācijas datu izmantošana, lai iefiltrētos upuru vidē.

Pēc sākotnējās piekļuves iegūšanas šie apdraudējuma dalībnieki demonstrē rūpīgas noturības stratēģijas, izveido jaunus domēna kontus, iegūst akreditācijas datus un veic plašu tīkla un domēna kontrollera izpēti. Padoms uzsver ievērojamu Akira taktikas attīstību, viena pārkāpuma gadījumā izvietojot divus atšķirīgus izpirkuma programmatūras variantus pret dažādām sistēmu arhitektūrām.

Lai izvairītos no atklāšanas un atvieglotu sānu kustību, Akira operatori sistemātiski atspējo drošības programmatūru. Viņu rīku komplektā ir iekļauta virkne programmatūras lietojumprogrammu datu eksfiltrācijai un komandu un vadības sakaru izveidei, tostarp FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok un RustDesk.

Līdzīgi kā citi izspiedējvīrusu sindikāti , Akira izmanto dubultu izspiešanas modeli, izfiltrējot upuru datus pirms šifrēšanas un pieprasot samaksu Bitcoin, izmantojot Tor balstītus sakaru kanālus. Uzbrucēji vēl vairāk pastiprina spiedienu, draudot publiski atklāt izfiltrētos datus Tor tīklā un dažos gadījumos tieši sazinoties ar cietušajām organizācijām.

Reaģējot uz šo pieaugošo draudu ainavu, padoms sniedz tīkla aizstāvjiem ar Akira saistītos kompromisa rādītājus (IoC), kā arī ieteicamās mazināšanas stratēģijas, lai stiprinātu viņu aizsardzību pret šādiem uzbrukumiem.