Ang mga Cybercrook sa Likod ng Akira Ransomware ay Kumita ng Mahigit $42 Milyon sa Isang Taon

Ang mga cybercriminal na responsable para sa Akira Ransomware ay nakaipon ng napakalaking halaga na mahigit $42 milyon sa loob lamang ng isang taon, ayon sa mga ulat mula sa CISA, FBI, Europol, at National Cyber Security Center (NCSC-NL) ng Netherlands. Ang kanilang mga kasuklam-suklam na aktibidad ay nabiktima ng higit sa 250 entity sa buong mundo, na sumasaklaw sa isang hanay ng mga industriya kabilang ang mga serbisyo, pagmamanupaktura, edukasyon, konstruksyon, kritikal na imprastraktura, pananalapi, pangangalaga sa kalusugan, at mga legal na sektor.

Sa simula ay nakakulong sa pag-target sa mga system ng Windows, pinalawak ng Akira Ransomware ang abot nito upang mahawahan ang mga virtual machine ng VMware ESXi mula Abril 2023. Bukod dito, ang arsenal nito ay pinalakas ng pagsasama ng Megazord simula Agosto 2023, gaya ng itinampok ng CISA, FBI, Europol, at NCSC-NL sa isang kamakailang advisory.

Ang mga operator ng Akira Ransomware ay nagpakita ng isang sopistikadong modus operandi, na nagsasamantala sa mga kahinaan sa mga serbisyo ng VPN na walang multi-factor na pagpapatotoo, lalo na ang paggamit ng mga kilalang kahinaan sa mga produkto ng Cisco tulad ng CVE-2020-3259 at CVE-2023-20269. Gumamit din sila ng mga taktika gaya ng remote desktop protocol (RDP) infiltration, spear-phishing campaign, at paggamit ng mga valid na kredensyal para makalusot sa kapaligiran ng mga biktima.

Pagkatapos magkaroon ng paunang pag-access, ang mga banta na aktor na ito ay nagpapakita ng masusing mga diskarte sa pagtitiyaga, paggawa ng mga bagong domain account, pagkuha ng mga kredensyal, at pagsasagawa ng malawak na network at domain controller reconnaissance. Binibigyang-diin ng advisory ang isang kapansin-pansing ebolusyon sa mga taktika ni Akira, kasama ang pag-deploy ng dalawang natatanging variant ng ransomware laban sa magkakaibang mga arkitektura ng system sa loob ng isang kaganapan ng paglabag.

Sa isang bid upang maiwasan ang pagtuklas at mapadali ang paggalaw sa gilid, sistematikong hindi pinapagana ng mga operator ng Akira ang software ng seguridad. Kasama sa kanilang toolkit ang isang hanay ng mga software application para sa data exfiltration at pagtatatag ng command-and-control na komunikasyon, kabilang ang FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok, at RustDesk.

Katulad ng iba pang mga syndicate ng ransomware , gumagamit si Akira ng dual extortion model, pag-exfiltrate ng data ng mga biktima bago ang pag-encrypt at paghingi ng bayad sa Bitcoin sa pamamagitan ng Tor-based na mga channel ng komunikasyon. Ang mga umaatake ay lalong nagpapataas ng panggigipit sa pamamagitan ng pagbabanta na ibunyag sa publiko ang mga exfiltrated na data sa Tor network at, sa ilang mga kaso, direktang makipag-ugnayan sa mga nabiktima ng organisasyon.

Bilang tugon sa tumitinding tanawin ng pagbabanta na ito, binibigyan ng advisory ang mga tagapagtanggol ng network ng mga indicator of compromise (IoCs) na nauugnay sa Akira, kasama ang mga inirerekomendang diskarte sa pagpapagaan upang palakasin ang kanilang mga depensa laban sa mga naturang pag-atake.