FBI : Le groupe de ransomware Akira a généré 42 millions de dollars auprès de plus de 250 organisations

Le groupe de ransomware Akira a pénétré les réseaux de plus de 250 organisations et a revendiqué environ 42 millions de dollars (USD) de revenus provenant de rançons, selon un récent avis de cybersécurité conjoint émis par le Federal Bureau of Investigation (FBI) des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA), le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol et le Centre national de cybersécurité des Pays-Bas (NCSC-NL).

Selon les enquêtes du FBI, le ransomware Akira a ciblé un large éventail d’entreprises et d’entités d’infrastructure critique en Amérique du Nord, en Europe et en Australie depuis mars 2023.

Bien que le ransomware ait initialement ciblé les systèmes Windows, le FBI a récemment découvert que la variante Linux d’Akira ciblait les machines virtuelles VMware ESXi qui sont largement utilisées dans de nombreuses grandes entreprises et organisations.

? #StopRansomare : Consultez notre ? #avis de cybersécurité, décrivant les #TTPs et #IOCs connus du #AkiraRansomware, élaboré avec @FBI, @EC3Europol et @NCSC_NL pour réduire l’exploitation des entreprises et des infrastructures critiques. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 18 avril 2024

« Les premières versions de la variante de ransomware Akira étaient écrites en C++ et cryptaient les fichiers avec une extension .akira ; cependant, à partir d’août 2023, certaines attaques d’Akira ont commencé à déployer Megazord, utilisant un code basé sur Rust qui crypte les fichiers avec une extension .powerranges. Les acteurs de la menace Akira ont continué à utiliser à la fois Megazord et Akira, y compris Akira_v2 (identifié par des enquêtes de tiers de confiance) de manière interchangeable », indique l’avis de cybersécurité conjoint.

Le FBI et les chercheurs en cybersécurité ont observé que les acteurs de la menace Akira obtenaient un accès initial aux organisations via un service de réseau privé virtuel (VPN) sans authentification multifactorielle (MFA) configurée, utilisant principalement des vulnérabilités Cisco connues CVE-2020-3259 et CVE-2023-20269.

D’autres méthodes d’accès initial incluent l’utilisation de services exposés à l’extérieur tels que le protocole de bureau à distance (RDP), des attaques de phishing ciblées et l’abus d’identifiants.

Une fois l’accès initial obtenu, les acteurs de la menace Akira tentent d’exploiter les fonctions des contrôleurs de domaine en créant de nouveaux comptes de domaine pour établir une persistance.

Le groupe utilise des techniques de Kerberoasting et Mimikatz pour extraire des identifiants, LaZagne pour aider à l’escalade des privilèges, PowerTool pour exploiter le pilote Zemana AntiMalware et terminer les processus liés à l’antivirus, et FileZilla, WinRAR, WinSCP et RClone pour l’exfiltration de données.

« Les acteurs de la menace Akira ne laissent pas de demande de rançon initiale ou d’instructions de paiement sur les réseaux compromis, et ne transmettent pas cette information jusqu’à ce qu’ils soient contactés par la victime », ont déclaré les agences.

« Les paiements de rançon sont effectués en Bitcoin vers des adresses de portefeuille de cryptomonnaie fournies par les acteurs de la menace. Pour exercer une pression supplémentaire, les acteurs de la menace Akira menacent de publier des données exfiltrées sur le réseau Tor, et dans certains cas, ont appelé des entreprises victimes, selon les rapports du FBI. »

Le FBI, la CISA, l’EC3 et le NCSC-NL ont fourni une gamme de pratiques de cybersécurité robustes pour aider les défenseurs à lutter contre la menace du ransomware Akira, notamment :

Activer l’authentification multifactorielle (MFA) résistante au phishing sur tous les systèmes critiques, en particulier les VPN, les webmails et les comptes ; mettre en œuvre des contrôles d’accès stricts et segmenter les réseaux pour restreindre la propagation des ransomwares ; maintenir des sauvegardes de données hors ligne ; entretenir régulièrement les sauvegardes et la restauration et s’assurer que tous les systèmes d’exploitation, logiciels et micrologiciels sont à jour.