Akira 勒索软件背后的网络犯罪分子一年内获利超过 4200 万美元

根据 CISA、FBI、欧洲刑警组织和荷兰国家网络安全中心 (NCSC-NL) 的报告，负责Akira 勒索软件的网络犯罪分子仅在一年内就积累了超过 4200 万美元的惊人金额。他们的邪恶活动使全球超过 250 个实体成为受害者，涉及服务、制造、教育、建筑、关键基础设施、金融、医疗保健和法律部门等多个行业。

Akira 勒索软件最初仅限于针对 Windows 系统，但自 2023 年 4 月以来，其范围已扩大到感染 VMware ESXi 虚拟机。此外，正如 CISA、FBI、欧洲刑警组织和 NCSC-NL 在最近的一份咨询报告中强调的那样，从 2023 年 8 月开始，随着 Megazord 的整合，其武器库得到了增强。

Akira 勒索软件的运营者展示了一种复杂的作案手法，利用缺乏多因素身份验证的 VPN 服务中的漏洞，特别是利用思科产品中已知的漏洞，如 CVE-2020-3259 和 CVE-2023-20269。他们还采用了远程桌面协议 (RDP) 渗透、鱼叉式网络钓鱼活动和利用有效凭证渗透受害者环境等策略。

在获得初始访问权限后，这些威胁行为者展现出细致的持久性策略，创建新的域帐户，提取凭据，并进行广泛的网络和域控制器侦察。该咨询报告强调了 Akira 策略的显著演变，在一次入侵事件中针对不同的系统架构部署了两种不同的勒索软件变体。

为了逃避检测并促进横向移动，Akira 操作员会系统地禁用安全软件。他们的工具包包括一系列用于数据泄露和建立命令与控制通信的软件应用程序，包括 FileZilla、WinRAR、WinSCP、RClone、AnyDesk、Cloudflare Tunnel、MobaXterm、Ngrok 和 RustDesk。

与其他勒索软件集团类似，Akira 采用双重勒索模式，在加密之前窃取受害者的数据，并通过基于 Tor 的通信渠道要求以比特币支付。攻击者通过威胁在 Tor 网络上公开披露窃取的数据，并在某些情况下直接联系受害组织，进一步加大压力。

为了应对不断升级的威胁形势，该咨询报告向网络防御者提供了与 Akira 相关的攻击指标 (IoC)，以及建议的缓解策略，以加强他们对此类攻击的防御。