Akira Ransomware przelał 42 miliony dolarów na okup w ciągu jednego roku

Według CISA, FBI, Europolu i holenderskiego Narodowego Centrum Cyberbezpieczeństwa (NCSC-NL) od początku 2023 r. oprogramowanie ransomware Akira zaatakowało ponad 250 ofiar na całym świecie i zebrało ponad 42 miliony dolarów w formie okupu.

Zaobserwowano, że operatorzy oprogramowania ransomware Akira atakują organizacje z różnych sektorów, w tym usług i towarów, produkcji, edukacji, budownictwa, infrastruktury krytycznej, finansów, opieki zdrowotnej i branży prawniczej.

Początkowo skupiając się na systemach Windows, Akira rozszerzyła swój zasięg, aby infekować maszyny wirtualne VMware ESXi od kwietnia 2023 r., a od sierpnia 2023 r. jest używana w połączeniu z Megazordem, jak podkreślono w poradniku CISA, FBI, Europolu i NCSC-NL.

Aby uzyskać początkowy dostęp, operatorzy oprogramowania ransomware Akira obrali za cel usługi VPN pozbawione uwierzytelniania wieloskładnikowego, wykorzystując przede wszystkim znane luki w produktach Cisco (takie jak CVE-2020-3259 i CVE-2023-20269). Wykorzystywali także protokół zdalnego pulpitu (RDP), phishing typu spear i kradli dane uwierzytelniające, aby włamać się do środowisk ofiar.

Po uzyskaniu dostępu cyberprzestępcy w celu zachowania trwałości utworzyli nowe konta domenowe, w tym w niektórych przypadkach konta administracyjne, wyodrębnili dane uwierzytelniające oraz przeprowadzili rekonesans sieci i kontrolerów domeny.

Podmiot zagrażający obsługujący Akira ma dwa różne warianty

Na podstawie wiarygodnych badań przeprowadzonych przez strony trzecie zaobserwowano, że ugrupowania zagrażające Akira wdrażały dwa różne warianty oprogramowania ransomware atakujące różne architektury systemów w ramach tego samego zdarzenia naruszenia bezpieczeństwa. Jak stwierdzono w poradniku, oznacza to zmianę w stosunku do wcześniej zgłaszanej aktywności oprogramowania ransomware Akira.

Przygotowując się do ruchu bocznego w sieciach, operatorzy firmy Akira wyłączyli oprogramowanie zabezpieczające, aby uniknąć wykrycia. Obserwowano je również przy użyciu narzędzi takich jak FileZilla, WinRAR, WinSCP i RClone do eksfiltracji danych oraz AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok i RustDesk do nawiązywania komunikacji typu dowodzenie i kontrola (C&C).

Podobnie jak inne grupy oprogramowania ransomware, Akira eksfiltruje dane ofiar przed ich zaszyfrowaniem. Ofiary są instruowane, aby skontaktowały się z napastnikami za pośrednictwem strony internetowej opartej na Tor, a następnie kierowane są do zapłacenia okupu w Bitcoinach.

Aby wywrzeć dalszą presję, ugrupowania zagrażające Akira grożą opublikowaniem wydobytych danych w sieci Tor, a w niektórych przypadkach nawet kontaktowały się z firmami będącymi ofiarami, jak zauważyły CISA, FBI, Europol i NCSC-NL.