ФБР: Группа-вымогатель Akira заработала 42 миллиона долларов на более чем 250 организациях

Группа-вымогатель Akira взломала сети более 250 организаций и заявила о получении примерно 42 миллионов долларов (США) от вымогательства, согласно недавнему совместному совету по кибербезопасности, выпущенному Федеральным бюро расследований США (ФБР), Агентством по кибербезопасности и безопасности инфраструктуры (CISA), Европейским центром киберпреступности Европола (EC3) и Национальным центром кибербезопасности Нидерландов (NCSC-NL).

Согласно расследованиям ФБР, вымогательская программа Akira нацелилась на широкий спектр бизнеса и критически важные инфраструктурные объекты в Северной Америке, Европе и Австралии с марта 2023 года.

Хотя изначально программа-вымогатель нацеливалась на системы Windows, ФБР недавно обнаружило, что версия Akira для Linux нацелена на виртуальные машины VMware ESXi, которые широко используются во многих крупных компаниях и организациях.

? #StopRansomare: Ознакомьтесь с нашим ? #cybersecurity советом, в котором изложены известные #AkiraRansomware #TTPs и #IOCs, разработанные совместно с @FBI, @EC3Europol и @NCSC_NL для снижения эксплуатации бизнеса и критически важной инфраструктуры. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 18 апреля 2024 г.

«Ранние версии варианта вымогателя Akira были написаны на C++ и шифровали файлы с расширением .akira; однако, начиная с августа 2023 года, некоторые атаки Akira начали использовать Megazord, применяя код на Rust, который шифрует файлы с расширением .powerranges. Участники угроз Akira продолжили использовать как Megazord, так и Akira, включая Akira_v2 (идентифицированный по результатам расследований доверенных третьих сторон) взаимозаменяемо», — говорится в совместном совете по кибербезопасности.

ФБР и исследователи в области кибербезопасности наблюдали, как участники угроз Akira получают первоначальный доступ к организациям через службу виртуальной частной сети (VPN) без настроенной многофакторной аутентификации (MFA), в основном используя известные уязвимости Cisco CVE-2020-3259 и CVE-2023-20269.

Дополнительные методы первоначального доступа включают использование внешних сервисов, таких как Протокол удаленного рабочего стола (RDP), атаки целевой фишинговой рассылки и злоупотребление учетными данными.

После получения первоначального доступа участники угроз Akira пытаются эксплуатировать функции контроллеров домена, создавая новые учетные записи домена для установления постоянства.

Группа использует техники Kerberoasting и Mimikatz для извлечения учетных данных, LaZagne для помощи в повышении привилегий, PowerTool для эксплуатации драйвера Zemana AntiMalware и завершения процессов, связанных с антивирусом, а также FileZilla, WinRAR, WinSCP и RClone для эксфильтрации данных.

«Участники угроз Akira не оставляют первоначальный запрос на выкуп или инструкции по оплате в скомпрометированных сетях и не передают эту информацию, пока не свяжутся с жертвой», — заявили агентства.

«Платежи за выкуп производятся в биткойнах на адреса криптовалютных кошельков, предоставленные участниками угроз. Чтобы оказать дополнительное давление, участники угроз Akira угрожают опубликовать эксфильтрованные данные в сети Tor и в некоторых случаях звонили в пострадавшие компании, согласно отчету ФБР».

ФБР, CISA, EC3 и NCSC-NL предоставили ряд надежных практик кибербезопасности для защитников, чтобы противостоять угрозе вымогателя Akira, включая:

Включение устойчивой к фишингу многофакторной аутентификации (MFA) для всех критически важных систем, особенно VPN, веб-почты и учетных записей; внедрение строгих контрольных механизмов доступа и сегментацию сетей для ограничения распространения вымогательства; поддержание оффлайн резервных копий данных; регулярное обслуживание резервного копирования и восстановления и обеспечение того, чтобы все операционные системы, программное обеспечение и прошивки были обновлены.