Akira Ransomware banker $42 millioner i løsepengebetalinger over et enkelt år

Siden begyndelsen af 2023 har Akira ransomware rettet mod mere end 250 ofre globalt og indsamlet over $42 millioner i løsepenge, ifølge CISA, FBI, Europol og Hollands Nationale Cyber Security Center (NCSC-NL).

Operatørerne af Akira ransomware er blevet observeret angribe organisationer på tværs af forskellige sektorer, herunder tjenester og varer, fremstilling, uddannelse, byggeri, kritisk infrastruktur, finans, sundhedspleje og juridiske industrier.

Akira, der oprindeligt var fokuseret på Windows-systemer, har udvidet sin rækkevidde til at inficere virtuelle VMware ESXi-maskiner siden april 2023 og har været brugt sammen med Megazord siden august 2023, som fremhævet i en rådgivning fra CISA, FBI, Europol og NCSC-NL.

For at få indledende adgang målrettede operatørerne af Akira ransomware VPN-tjenester, der manglede multi-faktor-autentificering, primært ved at udnytte kendte sårbarheder i Cisco-produkter (såsom CVE-2020-3259 og CVE-2023-20269). De brugte også remote desktop protocol (RDP), spear-phishing og stjålne legitimationsoplysninger til at bryde ofrenes miljøer.

Efter at have fået adgang oprettede trusselsaktørerne nye domænekonti for persistens, herunder administrative konti i nogle tilfælde, udtrak legitimationsoplysninger og gennemførte netværks- og domænecontrollerrekognoscering.

Trusselskuespiller, der driver Akira, kører to forskellige varianter

Baseret på troværdige tredjepartsundersøgelser er Akira-trusselsaktører blevet observeret i at implementere to forskellige ransomware-varianter rettet mod forskellige systemarkitekturer inden for den samme kompromishændelse. Dette repræsenterer et skift fra tidligere rapporteret Akira ransomware-aktivitet, sagde rådgiveren.

Som forberedelse til lateral bevægelse inden for netværk deaktiverede Akira-operatørerne sikkerhedssoftware for at undgå opdagelse. De blev også observeret ved hjælp af værktøjer som FileZilla, WinRAR, WinSCP og RClone til dataeksfiltrering og AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok og RustDesk til at etablere kommando-og-kontrol (C&C) kommunikation.

I lighed med andre ransomware-grupper eksfiltrerer Akira ofrenes data, før de krypteres. Ofre bliver bedt om at kontakte angriberne via en Tor-baseret hjemmeside og efterfølgende bedt om at betale løsesum i Bitcoin.

For at lægge yderligere pres truer Akira-trusselsaktører med at offentliggøre eksfiltrerede data på Tor-netværket og har endda kontaktet ofre virksomheder i nogle tilfælde, bemærkede CISA, FBI, Europol og NCSC-NL.