Cyberskurkar bakom Akira Ransomware tjänade över 42 miljoner dollar på ett år

De cyberbrottslingar som är ansvariga för Akira Ransomware har samlat på sig en svindlande summa på över 42 miljoner dollar inom bara ett år, enligt rapporter från CISA, FBI, Europol och Nederländernas nationella cybersäkerhetscenter (NCSC-NL). Deras skändliga aktiviteter har drabbat mer än 250 enheter världen över, som spänner över en rad branscher, inklusive tjänster, tillverkning, utbildning, konstruktion, kritisk infrastruktur, finans, hälsovård och juridiska sektorer.

Akira Ransomware, som ursprungligen var begränsad till Windows-system, har utökat sin räckvidd för att infektera virtuella VMware ESXi-maskiner sedan april 2023. Dessutom stärktes dess arsenal med integrationen av Megazord från och med augusti 2023, vilket framhållits av CISA, FBI, Europol och NCSC-NL i en nyligen publicerad rådgivning.

Operatörerna av Akira Ransomware har visat ett sofistikerat tillvägagångssätt och utnyttjar sårbarheter i VPN-tjänster som saknar multifaktorautentisering, särskilt genom att utnyttja kända svagheter i Cisco-produkter som CVE-2020-3259 och CVE-2023-20269. De har också använt taktik som infiltration av fjärrskrivbordsprotokoll (RDP), spjutfiskekampanjer och användning av giltiga referenser för att infiltrera offrens miljöer.

Efter att ha fått första åtkomst, uppvisar dessa hotaktörer noggranna uthållighetsstrategier, skapar nya domänkonton, extraherar referenser och genomför omfattande nätverks- och domänkontrollanters spaning. Rådgivningen understryker en anmärkningsvärd utveckling i Akiras taktik, med utplaceringen av två distinkta ransomware-varianter mot olika systemarkitekturer inom en enda intrångshändelse.

I ett försök att undvika upptäckt och underlätta rörelse i sidled inaktiverar Akira-operatörerna systematiskt säkerhetsprogramvaran. Deras verktygslåda innehåller en rad mjukvaruapplikationer för dataexfiltrering och upprättande av kommando-och-kontrollkommunikation, inklusive FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok och RustDesk.

I likhet med andra ransomware-syndikat , använder Akira en dubbel utpressningsmodell, exfiltrerar offrens data före kryptering och kräver betalning i Bitcoin via Tor-baserade kommunikationskanaler. Angriparna eskalerar ytterligare trycket genom att hota att offentligt avslöja exfiltrerad data på Tor-nätverket och, i vissa fall, direkt kontakta organisationer som utsatts för offer.

Som svar på detta eskalerande hotlandskap förser rådgivningen nätverksförsvarare med indikatorer på kompromiss (IoCs) associerade med Akira, tillsammans med rekommenderade begränsningsstrategier för att stärka deras försvar mot sådana attacker.