Cybercrooks din spatele ransomware-ului Akira au făcut peste 42 de milioane de dolari într-un an
Infractorii cibernetici responsabili de Akira Ransomware au strâns o sumă uluitoare de peste 42 de milioane de dolari în doar un an, potrivit rapoartelor CISA, FBI, Europol și Centrul Național de Securitate Cibernetică din Țările de Jos (NCSC-NL). Activitățile lor nefaste au victimizat peste 250 de entități din întreaga lume, acoperind o gamă largă de industrii, inclusiv servicii, producție, educație, construcții, infrastructură critică, finanțe, asistență medicală și sectoare juridice.
Limitat inițial la țintirea sistemelor Windows, Akira Ransomware și-a extins acoperirea pentru a infecta mașinile virtuale VMware ESXi din aprilie 2023. Mai mult, arsenalul său a fost consolidat cu integrarea Megazord începând cu august 2023, după cum au subliniat CISA, FBI, Europol și NCSC-NL într-un aviz recent.
Operatorii Akira Ransomware au demonstrat un modus operandi sofisticat, exploatând vulnerabilitățile din serviciile VPN lipsite de autentificare multifactorială, în special valorificând punctele slabe cunoscute ale produselor Cisco precum CVE-2020-3259 și CVE-2023-20269. Ei au folosit, de asemenea, tactici precum infiltrarea protocolului desktop la distanță (RDP), campanii de spear-phishing și utilizarea acreditărilor valide pentru a se infiltra în mediile victimelor.
După obținerea accesului inițial, acești actori amenințări prezintă strategii meticuloase de persistență, creând noi conturi de domeniu, extragând acreditări și efectuând o recunoaștere extinsă a rețelei și controlerului de domeniu. Avizul subliniază o evoluție notabilă a tacticii lui Akira, cu implementarea a două variante distincte de ransomware împotriva diferitelor arhitecturi de sistem într-un singur eveniment de încălcare.
În încercarea de a evita detectarea și de a facilita mișcarea laterală, operatorii Akira dezactivează sistematic software-ul de securitate. Setul lor de instrumente include o gamă de aplicații software pentru exfiltrarea datelor și stabilirea comunicării de comandă și control, inclusiv FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok și RustDesk.
Similar altor organizații de ransomware , Akira adoptă un model de extorcare dublă, exfiltrând datele victimelor înainte de criptare și solicitând plata în Bitcoin prin canalele de comunicare bazate pe Tor. Atacatorii intensifică și mai mult presiunea prin amenințarea că vor dezvălui în mod public datele exfiltrate din rețeaua Tor și, în unele cazuri, contactând direct organizațiile victimizate.
Ca răspuns la acest peisaj de amenințări în creștere, avizul oferă apărătorilor rețelei indicatori de compromis (IoC) asociați cu Akira, împreună cu strategii de atenuare recomandate pentru a-și întări apărarea împotriva unor astfel de atacuri.