Penyangak Siber Di Belakang Ransomware Akira Mendapat Lebih $42 Juta dalam Satu Tahun

Penjenayah siber yang bertanggungjawab ke atas Akira Ransomware telah mengumpulkan jumlah yang mengejutkan melebihi $42 juta dalam masa satu tahun sahaja, menurut laporan daripada CISA, FBI, Europol, dan Pusat Keselamatan Siber Kebangsaan Belanda (NCSC-NL). Aktiviti jahat mereka telah mengorbankan lebih daripada 250 entiti di seluruh dunia, merangkumi pelbagai industri termasuk perkhidmatan, pembuatan, pendidikan, pembinaan, infrastruktur kritikal, kewangan, penjagaan kesihatan dan sektor perundangan.

Pada mulanya terhad kepada menyasarkan sistem Windows, Akira Ransomware telah meluaskan jangkauannya untuk menjangkiti mesin maya VMware ESXi sejak April 2023. Selain itu, senjatanya diperkukuh dengan penyepaduan Megazord mulai Ogos 2023, seperti yang diserlahkan oleh CISA, FBI, Europol dan NCSC-NL dalam nasihat baru-baru ini.

Pengendali Akira Ransomware telah menunjukkan modus operandi yang canggih, mengeksploitasi kelemahan dalam perkhidmatan VPN yang tidak mempunyai pengesahan berbilang faktor, terutamanya memanfaatkan kelemahan yang diketahui dalam produk Cisco seperti CVE-2020-3259 dan CVE-2023-20269. Mereka juga telah menggunakan taktik seperti penyusupan protokol desktop jauh (RDP), kempen pancingan lembing dan penggunaan bukti kelayakan yang sah untuk menyusup ke persekitaran mangsa.

Selepas mendapat akses awal, pelaku ancaman ini mempamerkan strategi kegigihan yang teliti, mencipta akaun domain baharu, mengekstrak bukti kelayakan dan menjalankan peninjauan pengawal rangkaian dan domain yang meluas. Nasihat itu menggariskan evolusi yang ketara dalam taktik Akira, dengan penggunaan dua varian perisian tebusan yang berbeza terhadap seni bina sistem yang berbeza dalam satu peristiwa pelanggaran.

Dalam usaha untuk mengelak pengesanan dan memudahkan pergerakan sisi, pengendali Akira melumpuhkan perisian keselamatan secara sistematik. Kit alat mereka termasuk pelbagai aplikasi perisian untuk exfiltration data dan mewujudkan komunikasi arahan dan kawalan, termasuk FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok dan RustDesk.

Sama seperti sindiket perisian tebusan yang lain , Akira menggunakan model pemerasan dwi, mengeluarkan data mangsa sebelum penyulitan dan menuntut pembayaran dalam Bitcoin melalui saluran komunikasi berasaskan Tor. Penyerang meningkatkan lagi tekanan dengan mengancam untuk mendedahkan data yang dieksfiltrasi secara terbuka pada rangkaian Tor dan, dalam beberapa kes, menghubungi terus organisasi yang menjadi mangsa.

Sebagai tindak balas kepada landskap ancaman yang semakin meningkat ini, nasihat itu memberikan pembela rangkaian dengan penunjuk kompromi (IoC) yang dikaitkan dengan Akira, bersama-sama dengan strategi pengurangan yang disyorkan untuk mengukuhkan pertahanan mereka daripada serangan sedemikian.