Киберпреступники, стоящие за программой-вымогателем Akira, заработали более 42 миллионов долларов за год

По данным CISA, ФБР, Европола и Национального центра кибербезопасности Нидерландов (NCSC-NL), киберпреступники, ответственные за программу-вымогатель Akira, накопили ошеломляющую сумму в более чем 42 миллиона долларов всего за один год. Их гнусная деятельность стала жертвой более 250 организаций по всему миру, охватывающих целый ряд отраслей, включая услуги, производство, образование, строительство, критически важную инфраструктуру, финансы, здравоохранение и юридический сектор.

Первоначально программа-вымогатель Akira была нацелена на системы Windows, но с апреля 2023 года она расширила сферу своей деятельности и стала заражать виртуальные машины VMware ESXi. NCSC-NL в недавнем сообщении.

Операторы программы-вымогателя Akira продемонстрировали изощренный образ действий, используя уязвимости в VPN-сервисах, в которых отсутствует многофакторная аутентификация, в частности, используя известные уязвимости в продуктах Cisco, таких как CVE-2020-3259 и CVE-2023-20269. Они также использовали такие тактики, как проникновение по протоколу удаленного рабочего стола (RDP), целевые фишинговые кампании и использование действительных учетных данных для проникновения в среду жертв.

После получения первоначального доступа эти злоумышленники демонстрируют тщательную стратегию сохранения, создавая новые учетные записи домена, извлекая учетные данные и проводя обширную разведку сети и контроллеров домена. Рекомендации подчеркивают заметную эволюцию тактики Акиры: развертывание двух различных вариантов программ-вымогателей против разных системных архитектур в рамках одного случая взлома.

Стремясь избежать обнаружения и облегчить боковое перемещение, операторы «Акиры» систематически отключают защитное программное обеспечение. В их набор инструментов входит ряд программных приложений для кражи данных и установления связи для управления и контроля, включая FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok и RustDesk.

Подобно другим синдикатам программ-вымогателей , Akira применяет двойную модель вымогательства, извлекая данные жертв перед шифрованием и требуя оплаты в биткойнах через каналы связи на базе Tor. Злоумышленники еще больше усиливают давление, угрожая публично раскрыть украденные данные в сети Tor и, в некоторых случаях, напрямую связываясь с пострадавшими организациями.

В ответ на этот растущий ландшафт угроз рекомендации предоставляют защитникам сети индикаторы компрометации (IoC), связанные с Akira, а также рекомендуемые стратегии смягчения для усиления их защиты от таких атак.