FBI: Il gruppo di ransomware Akira ha guadagnato 42 milioni di dollari da oltre 250 organizzazioni

Il gruppo di ransomware Akira ha violato le reti di oltre 250 organizzazioni e ha dichiarato circa 42 milioni di dollari (USD) in proventi da ransomware, secondo un recente avviso congiunto di cybersecurity emesso dal Federal Bureau of Investigation (FBI) degli Stati Uniti, dalla Cybersecurity and Infrastructure Security Agency (CISA), dal Centro europeo per la lotta contro il crimine informatico di Europol (EC3) e dal Centro nazionale per la sicurezza informatica dei Paesi Bassi (NCSC-NL).

Secondo le indagini dell’FBI, il ransomware Akira ha preso di mira una vasta gamma di aziende e entità di infrastrutture critiche in Nord America, Europa e Australia da marzo 2023.

Mentre il ransomware inizialmente mirava ai sistemi Windows, l’FBI ha recentemente scoperto che la variante Linux di Akira prendeva di mira le macchine virtuali VMware ESXi, ampiamente utilizzate da molte grandi aziende e organizzazioni.

? #StopRansomare: Rivedi il nostro ? #cybersecurity advisory, che delinea i noti #AkiraRansomware #TTPs e #IOCs, sviluppato con @FBI, @EC3Europol e @NCSC_NL per ridurre lo sfruttamento delle aziende e delle infrastrutture critiche. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 18 aprile 2024

“Le prime versioni della variante di ransomware Akira erano scritte in C++ e crittografavano i file con un’estensione .akira; tuttavia, a partire da agosto 2023, alcuni attacchi di Akira hanno iniziato a utilizzare Megazord, impiegando codice basato su Rust che crittografa i file con un’estensione .powerranges. Gli attori della minaccia di Akira hanno continuato a utilizzare sia Megazord che Akira, inclusa Akira_v2 (identificata da indagini di terze parti fidate) in modo intercambiabile,” si legge nell’avviso congiunto di cybersecurity.

L’FBI e i ricercatori di cybersecurity hanno osservato che gli attori della minaccia di Akira ottengono accesso iniziale alle organizzazioni attraverso un servizio di rete privata virtuale (VPN) senza autenticazione multifattoriale (MFA) configurata, principalmente utilizzando vulnerabilità note di Cisco CVE-2020-3259 e CVE-2023-20269.

Ulteriori metodi di accesso iniziale includono l’uso di servizi esposti esternamente come il Remote Desktop Protocol (RDP), attacchi di spear phishing e abuso di credenziali.

Una volta ottenuto l’accesso iniziale, gli attori della minaccia di Akira tentano di sfruttare le funzioni dei controller di dominio creando nuovi account di dominio per stabilire persistenza.

Il gruppo utilizza tecniche di Kerberoasting e Mimikatz per estrarre credenziali, LaZagne per aiutare nell’escalation dei privilegi, PowerTool per sfruttare il driver Zemana AntiMalware e terminare i processi legati all’antivirus, e FileZilla, WinRAR, WinSCP e RClone per l’esfiltrazione dei dati.

“Gli attori della minaccia di Akira non lasciano una richiesta di riscatto iniziale o istruzioni di pagamento sulle reti compromesse e non comunicano queste informazioni fino a quando non vengono contattati dalla vittima,” hanno affermato le agenzie.

“I pagamenti del riscatto vengono effettuati in Bitcoin agli indirizzi dei portafogli di criptovaluta forniti dagli attori della minaccia. Per esercitare ulteriore pressione, gli attori della minaccia di Akira minacciano di pubblicare i dati esfiltrati sulla rete Tor e, in alcuni casi, hanno contattato le aziende vittime, secondo i rapporti dell’FBI.”

L’FBI, CISA, EC3 e NCSC-NL hanno fornito una serie di pratiche robuste di cybersecurity per i difensori per combattere la minaccia del ransomware Akira, tra cui:

Abilitare l’autenticazione multifattoriale (MFA) resistente al phishing su tutti i sistemi critici, in particolare VPN, webmail e account; implementare rigorosi controlli di accesso e segmentare le reti per limitare la diffusione del ransomware; mantenere backup di dati offline; mantenere regolarmente backup e ripristino e garantire che tutti i sistemi operativi, software e firmware siano mantenuti aggiornati.