Akira Ransomware Banks 42 εκατομμύρια δολάρια σε πληρωμές λύτρων σε ένα μόνο έτος

Από τις αρχές του 2023, το Akira ransomware έχει στοχεύσει περισσότερα από 250 θύματα παγκοσμίως και έχει συγκεντρώσει πάνω από 42 εκατομμύρια δολάρια σε πληρωμές λύτρων, σύμφωνα με την CISA, το FBI, την Europol και το Εθνικό Κέντρο Κυβερνοασφάλειας της Ολλανδίας (NCSC-NL).

Οι χειριστές του Akira ransomware έχουν παρατηρηθεί να επιτίθενται σε οργανισμούς σε διάφορους τομείς, συμπεριλαμβανομένων των υπηρεσιών και αγαθών, της μεταποίησης, της εκπαίδευσης, των κατασκευών, των υποδομών ζωτικής σημασίας, των οικονομικών, της υγειονομικής περίθαλψης και των νομικών βιομηχανιών.

Αρχικά επικεντρωμένη στα συστήματα Windows, η Akira επέκτεινε την εμβέλειά της για να μολύνει τις εικονικές μηχανές VMware ESXi από τον Απρίλιο του 2023 και χρησιμοποιείται σε συνδυασμό με τη Megazord από τον Αύγουστο του 2023, όπως επισημαίνεται σε συμβουλή της CISA, του FBI, της Europol και του NCSC-NL.

Για να αποκτήσουν αρχική πρόσβαση, οι χειριστές του Akira ransomware στόχευσαν υπηρεσίες VPN που δεν διαθέτουν έλεγχο ταυτότητας πολλαπλών παραγόντων, εκμεταλλευόμενοι κυρίως γνωστές ευπάθειες σε προϊόντα Cisco (όπως CVE-2020-3259 και CVE-2023-20269). Χρησιμοποίησαν επίσης πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP), spear-phishing και κλεμμένα διαπιστευτήρια για να παραβιάσουν τα περιβάλλοντα των θυμάτων.

Αφού απέκτησαν πρόσβαση, οι φορείς απειλών δημιούργησαν νέους λογαριασμούς τομέα για παραμονή, συμπεριλαμβανομένων λογαριασμών διαχείρισης σε ορισμένες περιπτώσεις, εξήγαγαν διαπιστευτήρια και πραγματοποίησαν αναγνώριση ελεγκτή δικτύου και τομέα.

Threat Actor Operating Akira Runs Two Distinct Variants

Με βάση αξιόπιστες έρευνες τρίτων, οι παράγοντες απειλών Akira έχουν παρατηρηθεί να αναπτύσσουν δύο διαφορετικές παραλλαγές ransomware που στοχεύουν διαφορετικές αρχιτεκτονικές συστημάτων στο ίδιο συμβάν συμβιβασμού. Αυτό αντιπροσωπεύει μια μετατόπιση από την προηγούμενη αναφερόμενη δραστηριότητα ransomware Akira, ανέφερε η συμβουλευτική.

Στο πλαίσιο της προετοιμασίας για πλευρική κίνηση εντός δικτύων, οι χειριστές Akira απενεργοποίησαν το λογισμικό ασφαλείας για να αποφύγουν τον εντοπισμό. Παρατηρήθηκαν επίσης χρησιμοποιώντας εργαλεία όπως το FileZilla, το WinRAR, το WinSCP και το RClone για την εξαγωγή δεδομένων και τα AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok και RustDesk για τη δημιουργία επικοινωνίας εντολών και ελέγχου (C&C).

Παρόμοια με άλλες ομάδες ransomware, το Akira εκμεταλλεύεται τα δεδομένα των θυμάτων πριν τα κρυπτογραφήσει. Τα θύματα λαμβάνουν οδηγίες να επικοινωνήσουν με τους επιτιθέμενους μέσω ενός ιστότοπου που βασίζεται σε Tor και στη συνέχεια κατευθύνονται να πληρώσουν λύτρα σε Bitcoin.

Για να ασκήσουν περαιτέρω πίεση, οι παράγοντες της απειλής Akira απειλούν να δημοσιεύσουν δεδομένα διείσδυσης στο δίκτυο Tor και μάλιστα έχουν έρθει σε επαφή με θύματα σε ορισμένες περιπτώσεις, σημείωσε η CISA, το FBI, η Europol και το NCSC-NL.