Akira Ransomware 42 millió dollárt fizet ki váltságdíjként egyetlen év alatt

A CISA, az FBI, az Europol és a Holland Nemzeti Kiberbiztonsági Központ (NCSC-NL) szerint 2023 eleje óta az Akira ransomware több mint 250 áldozatot céloz meg világszerte, és több mint 42 millió dollárt gyűjtött be váltságdíjként.

Megfigyelték, hogy az Akira ransomware üzemeltetői különböző szektorokban támadtak meg szervezeteket, beleértve a szolgáltatásokat és árukat, a gyártást, az oktatást, az építőiparban, a kritikus infrastruktúrában, a pénzügyekben, az egészségügyben és a jogi ágazatokban.

A kezdetben a Windows rendszerekre összpontosító Akira 2023 áprilisa óta kiterjesztette hatókörét a VMware ESXi virtuális gépek megfertőzésére, és 2023 augusztusa óta használják a Megazorddal együtt, amint azt a CISA, az FBI, az Europol és az NCSC-NL is kiemelte.

A kezdeti hozzáférés megszerzése érdekében az Akira ransomware üzemeltetői a többtényezős hitelesítés nélküli VPN-szolgáltatásokat célozták meg, elsősorban a Cisco termékek ismert sebezhetőségeit (például CVE-2020-3259 és CVE-2023-20269) kihasználva. Emellett távoli asztali protokollt (RDP), lándzsás adathalászatot és ellopott hitelesítési adatokat is használtak az áldozatok környezetének megsértésére.

A hozzáférés megszerzése után a fenyegetés szereplői új tartományfiókokat hoztak létre a fennmaradás érdekében, beleértve bizonyos esetekben adminisztrátori fiókokat, kivonták a hitelesítő adatokat, és elvégezték a hálózati és tartományvezérlők felderítését.

Az Akirát operáló fenyegető színész két különböző változatot futtat

Hiteles, harmadik felek által végzett vizsgálatok alapján megfigyelték, hogy az Akira fenyegetés szereplői két különböző zsarolóvírus-változatot telepítettek, amelyek különböző rendszerarchitektúrákat céloznak meg ugyanazon a kompromisszumos eseményen belül. Ez elmozdulást jelent a korábban bejelentett Akira ransomware-tevékenységhez képest – áll a figyelmeztetésben.

A hálózaton belüli oldalirányú mozgásra készülve az Akira kezelői letiltották a biztonsági szoftvert, hogy elkerüljék az észlelést. Olyan eszközöket is megfigyeltek, mint a FileZilla, a WinRAR, a WinSCP és az RClone az adatok kiszűrésére, valamint az AnyDesk, a Cloudflare Tunnel, a MobaXterm, az Ngrok és a RustDesk a parancs- és vezérlési (C&C) kommunikáció létrehozására.

Más ransomware csoportokhoz hasonlóan az Akira kiszűri az áldozatok adatait, mielőtt titkosítaná azokat. Az áldozatokat arra utasítják, hogy egy Tor-alapú weboldalon lépjenek kapcsolatba a támadókkal, és ezt követően Bitcoinban fizessenek váltságdíjat.

A további nyomásgyakorlás érdekében az Akira fenyegetés szereplői azzal fenyegetőznek, hogy kiszűrt adatokat tesznek közzé a Tor-hálózaton, és néhány esetben felvették a kapcsolatot az áldozattá vált cégekkel – jegyezte meg a CISA, az FBI, az Europol és az NCSC-NL.