FBI: Grupo de Ransomware Akira Fez $42 Milhões de 250+ Organizações

O grupo de ransomware Akira invadiu as redes de mais de 250 organizações e reivindicou aproximadamente $42 milhões (USD) em receitas de ransomware, de acordo com um recente aviso conjunto de cibersegurança emitido pelo Federal Bureau of Investigation (FBI) dos Estados Unidos, pela Cybersecurity and Infrastructure Security Agency (CISA), pelo Centro Europeu de Cibercrime da Europol (EC3) e pelo Centro Nacional de Segurança Cibernética dos Países Baixos (NCSC-NL).

De acordo com investigações do FBI, o ransomware Akira tem como alvo uma ampla gama de empresas e entidades de infraestrutura crítica na América do Norte, Europa e Austrália desde março de 2023.

Enquanto o ransomware inicialmente visava sistemas Windows, o FBI recentemente descobriu a variante Linux do Akira visando máquinas virtuais VMware ESXi que são amplamente utilizadas em muitas grandes empresas e organizações.

? #StopRansomare: Revise nosso ? #cybersecurity advisory, que descreve os conhecidos #AkiraRansomware #TTPs & #IOCs, desenvolvido com @FBI, @EC3Europol, & @NCSC_NL para reduzir a exploração de empresas e infraestrutura crítica. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 18 de abril de 2024

“Versões iniciais da variante de ransomware Akira foram escritas em C++ e criptografaram arquivos com uma extensão .akira; no entanto, a partir de agosto de 2023, alguns ataques do Akira começaram a implantar o Megazord, usando código baseado em Rust que criptografa arquivos com uma extensão .powerranges. Os atores de ameaça do Akira continuaram a usar tanto o Megazord quanto o Akira, incluindo Akira_v2 (identificado por investigações de terceiros confiáveis) de forma intercambiável”, lê-se no aviso conjunto de cibersegurança.

O FBI e pesquisadores de cibersegurança observaram que os atores de ameaça do Akira obtêm acesso inicial às organizações através de um serviço de rede privada virtual (VPN) sem autenticação multifatorial (MFA) configurada, principalmente usando vulnerabilidades conhecidas da Cisco CVE-2020-3259 e CVE-2023-20269.

Métodos adicionais de acesso inicial incluem o uso de serviços expostos externamente, como Protocolo de Área de Trabalho Remota (RDP), ataques de spear phishing e abuso de credenciais.

Uma vez que o acesso inicial é obtido, os atores de ameaça do Akira tentam explorar as funções dos controladores de domínio criando novas contas de domínio para estabelecer persistência.

O grupo utiliza técnicas de Kerberoasting e Mimikatz para extrair credenciais, LaZagne para ajudar na elevação de privilégios, PowerTool para explorar o driver Zemana AntiMalware e encerrar processos relacionados a antivírus, e FileZilla, WinRAR, WinSCP e RClone para exfiltração de dados.

“Os atores de ameaça do Akira não deixam uma demanda inicial de resgate ou instruções de pagamento em redes comprometidas e não transmitem essas informações até serem contatados pela vítima”, disseram as agências.

“Os pagamentos de resgate são feitos em Bitcoin para endereços de carteira de criptomoeda fornecidos pelos atores de ameaça. Para aumentar a pressão, os atores de ameaça do Akira ameaçam publicar dados exfiltrados na rede Tor e, em alguns casos, ligaram para empresas vitimadas, de acordo com relatórios do FBI.”

O FBI, CISA, EC3 e NCSC-NL forneceram uma gama de práticas robustas de cibersegurança para defensores combaterem a ameaça do ransomware Akira, incluindo:

Habilitar autenticação multifatorial (MFA) resistente a phishing em todos os sistemas críticos, particularmente VPNs, webmail e contas; implementar controles de acesso rigorosos e segmentar redes para restringir a propagação do ransomware; manter backups de dados offline; manter regularmente backups e restaurações e garantir que todos os sistemas operacionais, softwares e firmwares estejam atualizados.