Akira Ransomware per vienerius metus sumokėjo 42 milijonus dolerių išpirkos

CISA, FTB, Europolo ir Nyderlandų nacionalinio kibernetinio saugumo centro (NCSC-NL) duomenimis, nuo 2023 m. pradžios „Akira“ išpirkos reikalaujanti programa nusitaikė į daugiau nei 250 aukų visame pasaulyje ir surinko daugiau nei 42 mln. USD išpirkos mokėjimų.

Pastebėta, kad „Akira“ išpirkos reikalaujančios programinės įrangos operatoriai atakuoja įvairių sektorių organizacijas, įskaitant paslaugų ir prekių, gamybos, švietimo, statybos, ypatingos svarbos infrastruktūros, finansų, sveikatos priežiūros ir teisinės pramonės šakas.

Iš pradžių orientuota į „Windows“ sistemas, „Akira“ išplėtė savo galimybes užkrėsti „VMware ESXi“ virtualias mašinas nuo 2023 m. balandžio mėn., o kartu su „Megazord“ naudojama nuo 2023 m. rugpjūčio mėn., kaip pabrėžiama CISA, FTB, Europolo ir NCSC-NL pranešime.

Norėdami gauti pradinę prieigą, „Akira“ išpirkos reikalaujančios programinės įrangos operatoriai taikė VPN paslaugas, kurioms trūko kelių veiksnių autentifikavimo, visų pirma išnaudodami žinomus „Cisco“ produktų pažeidžiamumus (pvz., CVE-2020-3259 ir CVE-2023-20269). Jie taip pat naudojo nuotolinio darbalaukio protokolą (RDP), sukčiavimą ir pavogtus kredencialus, kad pažeistų aukų aplinką.

Gavę prieigą, grėsmės veikėjai sukūrė naujas domeno paskyras, kad išliktų, kai kuriais atvejais įskaitant administracines paskyras, ištraukė kredencialus ir atliko tinklo bei domeno valdiklio žvalgybą.

Grėsmių aktorius, operuojantis Akira, turi du skirtingus variantus

Remiantis patikimais trečiųjų šalių tyrimais, buvo pastebėta, kad „Akira“ grėsmės veikėjai tame pačiame kompromisiniame įvykyje diegia du skirtingus išpirkos reikalaujančių programų variantus, nukreiptus į skirtingas sistemų architektūras. Tai reiškia perėjimą nuo anksčiau praneštos „Akira“ išpirkos reikalaujančios programos veiklos, teigiama pranešime.

Ruošdamiesi šoniniam judėjimui tinkluose, „Akira“ operatoriai išjungė saugos programinę įrangą, kad išvengtų aptikimo. Jie taip pat buvo stebimi naudojant tokius įrankius kaip „FileZilla“, „WinRAR“, „WinSCP“ ir „RClone“ duomenims išfiltruoti, o „AnyDesk“, „Cloudflare Tunnel“, „MobaXterm“, „Ngrok“ ir „RustDesk“ komandų ir valdymo (C&C) ryšiui užmegzti.

Panašiai kaip ir kitos „ransomware“ grupės, „Akira“ išfiltruoja aukų duomenis prieš juos užšifruodama. Aukoms nurodoma susisiekti su užpuolikais per „Tor“ pagrįstą svetainę ir vėliau nurodoma sumokėti išpirką Bitcoin.

CISA, FTB, Europolas ir NCSC-NL, kad darytų tolesnį spaudimą, „Akira“ grėsmės veikėjai grasina paskelbti išfiltruotus duomenis „Tor“ tinkle ir kai kuriais atvejais netgi susisiekė su nukentėjusiomis įmonėmis.