Οι Cybercrooks Behind the Akira Ransomware κέρδισαν πάνω από 42 εκατομμύρια δολάρια σε ένα χρόνο

Οι κυβερνοεγκληματίες που είναι υπεύθυνοι για το Akira Ransomware έχουν συγκεντρώσει ένα εκπληκτικό ποσό άνω των 42 εκατομμυρίων δολαρίων μέσα σε μόλις ένα χρόνο, σύμφωνα με αναφορές της CISA, του FBI, της Europol και του Εθνικού Κέντρου Κυβερνοασφάλειας της Ολλανδίας (NCSC-NL). Οι άθλιες δραστηριότητές τους έχουν θυματοποιήσει περισσότερες από 250 οντότητες σε όλο τον κόσμο, που καλύπτουν μια σειρά βιομηχανιών, συμπεριλαμβανομένων των υπηρεσιών, της μεταποίησης, της εκπαίδευσης, των κατασκευών, των υποδομών ζωτικής σημασίας, της χρηματοδότησης, της υγειονομικής περίθαλψης και νομικών τομέων.

Αρχικά περιορίστηκε στη στόχευση συστημάτων Windows, το Akira Ransomware επέκτεινε την εμβέλειά του για να μολύνει τις εικονικές μηχανές VMware ESXi από τον Απρίλιο του 2023. Επιπλέον, το οπλοστάσιό του ενισχύθηκε με την ενσωμάτωση του Megazord από τον Αύγουστο του 2023, όπως τονίζεται από την CISA, το FBI, την Europol και NCSC-NL σε πρόσφατη συμβουλευτική.

Οι χειριστές του Akira Ransomware έχουν επιδείξει έναν εξελιγμένο τρόπο λειτουργίας, εκμεταλλευόμενοι ευπάθειες σε υπηρεσίες VPN που δεν διαθέτουν έλεγχο ταυτότητας πολλαπλών παραγόντων, αξιοποιώντας ιδιαίτερα γνωστές αδυναμίες σε προϊόντα Cisco όπως τα CVE-2020-3259 και CVE-2023-20269. Έχουν επίσης χρησιμοποιήσει τακτικές όπως η διείσδυση πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP), εκστρατείες ψαρέματος με δόρυ και η χρήση έγκυρων διαπιστευτηρίων για διείσδυση στα περιβάλλοντα των θυμάτων.

Μετά την απόκτηση αρχικής πρόσβασης, αυτοί οι παράγοντες απειλών παρουσιάζουν σχολαστικές στρατηγικές επιμονής, δημιουργώντας νέους λογαριασμούς τομέα, εξάγοντας διαπιστευτήρια και πραγματοποιώντας εκτεταμένη αναγνώριση ελεγκτών δικτύου και τομέα. Η συμβουλή υπογραμμίζει μια αξιοσημείωτη εξέλιξη στις τακτικές του Akira, με την ανάπτυξη δύο διαφορετικών παραλλαγών ransomware έναντι διαφορετικών αρχιτεκτονικών συστημάτων σε ένα μόνο συμβάν παραβίασης.

Σε μια προσπάθεια να αποφύγουν τον εντοπισμό και να διευκολύνουν την πλευρική κίνηση, οι χειριστές Akira απενεργοποιούν συστηματικά το λογισμικό ασφαλείας. Η εργαλειοθήκη τους περιλαμβάνει μια σειρά από εφαρμογές λογισμικού για την εξαγωγή δεδομένων και τη δημιουργία επικοινωνίας εντολών και ελέγχου, συμπεριλαμβανομένων των FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok και RustDesk.

Παρόμοια με άλλα συνδικάτα ransomware , η Akira υιοθετεί ένα μοντέλο διπλού εκβιασμού, διεγείροντας τα δεδομένα των θυμάτων πριν από την κρυπτογράφηση και απαιτώντας πληρωμή σε Bitcoin μέσω καναλιών επικοινωνίας που βασίζονται σε Tor. Οι επιτιθέμενοι κλιμακώνουν περαιτέρω την πίεση απειλώντας να αποκαλύψουν δημόσια δεδομένα που έχουν διεισδύσει στο δίκτυο Tor και, σε ορισμένες περιπτώσεις, επικοινωνώντας απευθείας με οργανώσεις που έχουν υποστεί θύματα.

Ως απάντηση σε αυτό το κλιμακούμενο τοπίο απειλών, η συμβουλευτική παρέχει στους υπερασπιστές του δικτύου δείκτες συμβιβασμού (IoC) που σχετίζονται με το Akira, μαζί με συνιστώμενες στρατηγικές μετριασμού για την ενίσχυση της άμυνάς τους έναντι τέτοιων επιθέσεων.