Kẻ lừa đảo đứng đằng sau phần mềm tống tiền Akira kiếm được hơn 42 triệu USD trong một năm

Theo báo cáo từ CISA, FBI, Europol và Trung tâm An ninh Mạng Quốc gia Hà Lan (NCSC-NL), tội phạm mạng chịu trách nhiệm về Akira Ransomware đã tích lũy được số tiền đáng kinh ngạc lên tới hơn 42 triệu USD chỉ trong vòng một năm. Các hoạt động bất chính của họ đã tấn công hơn 250 thực thể trên toàn thế giới, trải rộng trên nhiều ngành công nghiệp bao gồm dịch vụ, sản xuất, giáo dục, xây dựng, cơ sở hạ tầng quan trọng, tài chính, y tế và pháp lý.

Ban đầu chỉ giới hạn nhắm mục tiêu vào các hệ thống Windows, Akira Ransomware đã mở rộng phạm vi lây nhiễm sang các máy ảo VMware ESXi kể từ tháng 4 năm 2023. Hơn nữa, kho vũ khí của nó đã được củng cố nhờ việc tích hợp Megazord bắt đầu từ tháng 8 năm 2023, như CISA, FBI, Europol và NCSC-NL trong một tư vấn gần đây.

Những kẻ điều hành Akira Ransomware đã thể hiện một phương thức hoạt động tinh vi, khai thác các lỗ hổng trong các dịch vụ VPN thiếu xác thực đa yếu tố, đặc biệt là tận dụng các điểm yếu đã biết trong các sản phẩm của Cisco như CVE-2020-3259 và CVE-2023-20269. Họ cũng đã sử dụng các chiến thuật như xâm nhập giao thức máy tính để bàn từ xa (RDP), các chiến dịch lừa đảo trực tuyến và sử dụng thông tin xác thực hợp lệ để xâm nhập vào môi trường của nạn nhân.

Sau khi giành được quyền truy cập ban đầu, những kẻ đe dọa này thể hiện các chiến lược kiên trì tỉ mỉ, tạo tài khoản miền mới, trích xuất thông tin xác thực và tiến hành trinh sát bộ điều khiển miền và mạng trên diện rộng. Lời khuyên này nhấn mạnh sự thay đổi đáng chú ý trong chiến thuật của Akira, với việc triển khai hai biến thể ransomware riêng biệt chống lại các kiến trúc hệ thống khác nhau trong một sự kiện vi phạm duy nhất.

Để tránh bị phát hiện và tạo điều kiện cho việc di chuyển sang bên, những người điều hành Akira đã vô hiệu hóa phần mềm bảo mật một cách có hệ thống. Bộ công cụ của họ bao gồm một loạt ứng dụng phần mềm để lọc dữ liệu và thiết lập giao tiếp ra lệnh và kiểm soát, bao gồm FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok và RustDesk.

Tương tự như các tập đoàn ransomware khác , Akira áp dụng mô hình tống tiền kép, lấy cắp dữ liệu của nạn nhân trước khi mã hóa và yêu cầu thanh toán bằng Bitcoin thông qua các kênh liên lạc dựa trên Tor. Những kẻ tấn công tiếp tục gia tăng áp lực bằng cách đe dọa tiết lộ công khai dữ liệu bị lấy cắp trên mạng Tor và trong một số trường hợp, liên hệ trực tiếp với các tổ chức bị nạn nhân.

Để đối phó với bối cảnh mối đe dọa ngày càng leo thang này, tư vấn này cung cấp cho những người bảo vệ mạng các chỉ số xâm phạm (IoC) liên quan đến Akira, cùng với các chiến lược giảm thiểu được đề xuất để củng cố khả năng phòng thủ của họ trước các cuộc tấn công như vậy.