Cybercrooks bak Akira Ransomware tjente over 42 millioner dollar på ett år
De cyberkriminelle som er ansvarlige for Akira Ransomware har samlet en svimlende sum på over 42 millioner dollar i løpet av bare ett år, ifølge rapporter fra CISA, FBI, Europol og Nederlandens nasjonale cybersikkerhetssenter (NCSC-NL). Deres uhyggelige aktiviteter har utsatt mer enn 250 enheter over hele verden, som spenner over en rekke bransjer, inkludert tjenester, produksjon, utdanning, konstruksjon, kritisk infrastruktur, finans, helsevesen og juridiske sektorer.
Opprinnelig begrenset til å målrette Windows-systemer, har Akira Ransomware utvidet rekkevidden til å infisere virtuelle VMware ESXi-maskiner siden april 2023. Dessuten ble arsenalet styrket med integreringen av Megazord fra august 2023, som fremhevet av CISA, FBI, Europol og NCSC-NL i en fersk rådgivning.
Operatørene av Akira Ransomware har demonstrert en sofistikert modus operandi, og utnytter sårbarheter i VPN-tjenester som mangler multifaktorautentisering, spesielt ved å utnytte kjente svakheter i Cisco-produkter som CVE-2020-3259 og CVE-2023-20269. De har også brukt taktikker som infiltrasjon av ekstern skrivebordsprotokoll (RDP), spyd-phishing-kampanjer og bruk av gyldig legitimasjon for å infiltrere ofrenes miljøer.
Etter at de får første tilgang, viser disse trusselaktørene grundige utholdenhetsstrategier, oppretter nye domenekontoer, trekker ut legitimasjon og gjennomfører omfattende nettverks- og domenekontroller-rekognosering. Rådgivningen understreker en bemerkelsesverdig utvikling i Akiras taktikk, med utplassering av to forskjellige løsepengevarevarianter mot forskjellige systemarkitekturer innenfor en enkelt bruddhendelse.
I et forsøk på å unngå oppdagelse og lette sideveis bevegelse, deaktiverer Akira-operatørene systematisk sikkerhetsprogramvare. Verktøysettet deres inkluderer en rekke programvareapplikasjoner for dataeksfiltrering og etablering av kommando-og-kontrollkommunikasjon, inkludert FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok og RustDesk.
I likhet med andre løsepengevaresyndikater tar Akira i bruk en dobbel utpressingsmodell, som eksfiltrerer ofrenes data før kryptering og krever betaling i Bitcoin via Tor-baserte kommunikasjonskanaler. Angriperne eskalerer presset ytterligere ved å true med å offentliggjøre eksfiltrerte data på Tor-nettverket og, i noen tilfeller, direkte kontakte ofre organisasjoner.
Som svar på dette eskalerende trussellandskapet, gir rådgiveren nettverksforsvarere indikatorer på kompromiss (IoCs) assosiert med Akira, sammen med anbefalte avbøtende strategier for å styrke forsvaret deres mot slike angrep.