Cybercrooks ที่อยู่เบื้องหลัง Akira Ransomware สร้างรายได้กว่า 42 ล้านเหรียญสหรัฐในหนึ่งปี

อาชญากรไซเบอร์ที่รับผิดชอบต่อ Akira Ransomware มีมูลค่ารวมกว่า 42 ล้านดอลลาร์ภายในเวลาเพียงหนึ่งปี ตามรายงานจาก CISA, FBI, Europol และศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติของเนเธอร์แลนด์ (NCSC-NL) กิจกรรมที่ชั่วร้ายของพวกเขาได้ตกเป็นเหยื่อขององค์กรมากกว่า 250 แห่งทั่วโลก ครอบคลุมอุตสาหกรรมหลายประเภท รวมถึงบริการ การผลิต การศึกษา การก่อสร้าง โครงสร้างพื้นฐานที่สำคัญ การเงิน การดูแลสุขภาพ และภาคกฎหมาย

Akira Ransomware ในตอนแรกจำกัดเฉพาะการกำหนดเป้าหมายระบบ Windows ได้ขยายขอบเขตการเข้าถึงเพื่อแพร่เชื้อเครื่องเสมือน VMware ESXi ตั้งแต่เดือนเมษายน 2023 นอกจากนี้ คลังแสงของมันยังได้รับการสนับสนุนด้วยการบูรณาการ Megazord ตั้งแต่เดือนสิงหาคม 2023 ดังที่ CISA, FBI, Europol และ NCSC-NL ในคำแนะนำล่าสุด

ผู้ดำเนินการของ Akira Ransomware ได้สาธิตวิธีการทำงานที่ซับซ้อน โดยใช้ประโยชน์จากช่องโหว่ในบริการ VPN ที่ขาดการรับรองความถูกต้องแบบหลายปัจจัย โดยเฉพาะอย่างยิ่งการใช้ประโยชน์จากจุดอ่อนที่ทราบในผลิตภัณฑ์ของ Cisco เช่น CVE-2020-3259 และ CVE-2023-20269 พวกเขายังใช้กลยุทธ์ต่างๆ เช่น การแทรกซึมโปรโตคอลเดสก์ท็อประยะไกล (RDP) แคมเปญฟิชชิ่งแบบหอก และการใช้ข้อมูลประจำตัวที่ถูกต้องเพื่อแทรกซึมสภาพแวดล้อมของเหยื่อ

หลังได้รับการเข้าถึงครั้งแรก ผู้คุกคามเหล่านี้จะแสดงกลยุทธ์การคงอยู่อย่างพิถีพิถัน การสร้างบัญชีโดเมนใหม่ การแยกข้อมูลประจำตัว และดำเนินการสำรวจเครือข่ายและตัวควบคุมโดเมนอย่างกว้างขวาง คำแนะนำดังกล่าวเน้นย้ำถึงวิวัฒนาการที่โดดเด่นในกลยุทธ์ของ Akira ด้วยการติดตั้งแรนซัมแวร์สองสายพันธุ์ที่แตกต่างกันกับสถาปัตยกรรมระบบที่แตกต่างกันภายในเหตุการณ์การละเมิดครั้งเดียว

เพื่อหลบเลี่ยงการตรวจจับและอำนวยความสะดวกในการเคลื่อนไหวด้านข้าง ผู้ปฏิบัติงานของ Akira จะปิดการใช้งานซอฟต์แวร์รักษาความปลอดภัยอย่างเป็นระบบ ชุดเครื่องมือของพวกเขาประกอบด้วยแอพพลิเคชั่นซอฟต์แวร์มากมายสำหรับการขโมยข้อมูลและสร้างการสื่อสารแบบสั่งการและควบคุม รวมถึง FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok และ RustDesk

เช่นเดียวกับ องค์กรแรนซัมแวร์อื่นๆ Akira ใช้รูปแบบการขู่กรรโชกแบบคู่ โดยกรองข้อมูลของเหยื่อก่อนการเข้ารหัส และเรียกร้องการชำระเงินเป็น Bitcoin ผ่านช่องทางการสื่อสารที่ใช้ Tor ผู้โจมตีเพิ่มแรงกดดันด้วยการขู่ว่าจะเปิดเผยข้อมูลที่ถูกกรองออกสู่สาธารณะบนเครือข่าย Tor และในบางกรณีจะติดต่อกับองค์กรที่ตกเป็นเหยื่อโดยตรง

เพื่อตอบสนองต่อภาพรวมภัยคุกคามที่ทวีความรุนแรงขึ้น ที่ปรึกษาได้จัดเตรียมตัวบ่งชี้การประนีประนอม (IoC) ที่เกี่ยวข้องกับ Akira ให้กับผู้พิทักษ์เครือข่าย พร้อมด้วยกลยุทธ์การบรรเทาที่แนะนำเพื่อเสริมการป้องกันจากการโจมตีดังกล่าว