FBI: 아키라 랜섬웨어 그룹이 250개 이상의 조직에서 4,200만 달러를 벌어들임

아키라 랜섬웨어 그룹은 250개 이상의 조직의 네트워크를 침해하고 약 4,200만 달러(USD)의 랜섬웨어 수익을 주장했습니다. 이는 미국 연방수사국(FBI), 사이버 보안 및 인프라 보안국(CISA), 유로폴의 유럽 사이버 범죄 센터(EC3), 네덜란드 국가 사이버 보안 센터(NCSC-NL)가 발행한 최근의 공동 사이버 보안 자문에 따른 것입니다.

FBI 조사에 따르면, 아키라 랜섬웨어는 2023년 3월 이후 북미, 유럽 및 호주 전역의 다양한 기업과 중요한 인프라 단체를 대상으로 하고 있습니다.

랜섬웨어는 처음에 Windows 시스템을 목표로 했지만, FBI는 최근 아키라의 Linux 변종이 많은 대기업과 조직에서 널리 사용되는 VMware ESXi 가상 머신을 목표로 하고 있음을 발견했습니다.

? #StopRansomare: 우리의 ? #cybersecurity 자문을 검토하십시오. 이는 @FBI, @EC3Europol 및 @NCSC_NL과 함께 개발된 알려진 #AkiraRansomware #TTPs 및 #IOCs를 설명하여 기업과 중요한 인프라의 악용을 줄이기 위한 것입니다. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 2024년 4월 18일

“아키라 랜섬웨어 변종의 초기 버전은 C++로 작성되었으며 .akira 확장자로 파일을 암호화했습니다. 그러나 2023년 8월부터 일부 아키라 공격은 Rust 기반 코드를 사용하는 Megazord를 배포하기 시작했으며, 이는 .powerranges 확장자로 파일을 암호화합니다. 아키라 위협 행위자들은 Megazord와 아키라, 아키라_v2(신뢰할 수 있는 제3자 조사를 통해 확인됨)를 번갈아 사용하고 있습니다.”라고 공동 사이버 보안 자문은 읽습니다.

FBI와 사이버 보안 연구원들은 아키라 위협 행위자들이 다중 인증(MFA)이 구성되지 않은 가상 사설망(VPN) 서비스를 통해 조직에 초기 접근을 얻는 것을 관찰했습니다. 주로 알려진 Cisco 취약점인 CVE-2020-3259 및 CVE-2023-20269를 사용합니다.

초기 접근의 추가 방법으로는 원격 데스크톱 프로토콜(RDP), 스피어 피싱 공격 및 자격 증명 남용과 같은 외부 서비스의 사용이 포함됩니다.

초기 접근이 확보되면 아키라 위협 행위자들은 도메인 컨트롤러의 기능을 악용하여 지속성을 확보하기 위해 새로운 도메인 계정을 생성하려고 시도합니다.

이 그룹은 Kerberoasting 기법과 Mimikatz를 사용하여 자격 증명을 추출하고, LaZagne을 사용하여 권한 상승을 지원하며, PowerTool을 사용하여 Zemana AntiMalware 드라이버를 악용하고 안티바이러스 관련 프로세스를 종료하며, FileZilla, WinRAR, WinSCP 및 RClone을 사용하여 데이터를 유출합니다.

“아키라 위협 행위자들은 침해된 네트워크에 초기 랜섬 요구나 지불 지침을 남기지 않으며, 피해자가 연락할 때까지 이 정보를 전달하지 않습니다.”라고 기관들은 말했습니다.

“랜섬 지불은 위협 행위자가 제공한 암호화폐 지갑 주소로 비트코인으로 지불됩니다. 압박을 가하기 위해 아키라 위협 행위자들은 유출된 데이터를 Tor 네트워크에 게시하겠다고 위협하며, 일부 경우에는 피해 기업에 전화를 걸기도 했습니다.”라고 FBI 보고서에 따르면.

FBI, CISA, EC3 및 NCSC-NL은 아키라 랜섬웨어의 위협에 맞서기 위해 방어자들이 사용할 수 있는 다양한 강력한 사이버 보안 관행을 제공했습니다. 여기에는 다음이 포함됩니다:

• 모든 중요한 시스템, 특히 VPN, 웹메일 및 계정에서 피싱 저항 다중 인증(MFA) 활성화
• 랜섬웨어의 확산을 제한하기 위해 엄격한 접근 제어 구현 및 네트워크 분할
• 오프라인 데이터 백업 유지
• 백업 및 복원 정기적으로 유지 관리 및 모든 운영 체제, 소프트웨어 및 펌웨어를 최신 상태로 유지