Akira Ransomware ontvangt in één jaar tijd 42 miljoen dollar aan losgeld

Volgens CISA, de FBI, Europol en het Nederlandse Nationale Cyber Security Centrum (NCSC-NL) heeft de Akira-ransomware sinds begin 2023 wereldwijd ruim 250 slachtoffers getroffen en ruim 42 miljoen dollar aan losgeld geïnd.

Er is waargenomen dat exploitanten van de Akira-ransomware organisaties in verschillende sectoren aanvallen, waaronder diensten en goederen, productie, onderwijs, bouw, kritieke infrastructuur, financiën, gezondheidszorg en juridische sectoren.

Aanvankelijk gericht op Windows-systemen, heeft Akira sinds april 2023 zijn bereik uitgebreid om virtuele VMware ESXi-machines te infecteren en wordt het sinds augustus 2023 samen met Megazord gebruikt, zoals benadrukt in een advies van CISA, de FBI, Europol en NCSC-NL.

Om initiële toegang te krijgen, richtten de exploitanten van de Akira-ransomware zich op VPN-diensten zonder multi-factor authenticatie, waarbij ze voornamelijk misbruik maakten van bekende kwetsbaarheden in Cisco-producten (zoals CVE-2020-3259 en CVE-2023-20269). Ze maakten ook gebruik van het Remote Desktop Protocol (RDP), spearphishing en gestolen inloggegevens om de omgeving van slachtoffers te doorbreken.

Nadat ze toegang hadden verkregen, creëerden de bedreigingsactoren nieuwe domeinaccounts voor persistentie, waaronder in sommige gevallen beheerdersaccounts, haalden ze inloggegevens op en voerden ze netwerk- en domeincontrollerverkenningen uit.

Threat Actor Operating Akira voert twee verschillende varianten uit

Op basis van geloofwaardig onderzoek door derden is waargenomen dat Akira-bedreigingsactoren twee verschillende ransomwarevarianten inzetten die zich richten op verschillende systeemarchitecturen binnen hetzelfde compromisgebeurtenis. Dit vertegenwoordigt een verschuiving ten opzichte van eerder gerapporteerde Akira-ransomware-activiteit, aldus het advies.

Ter voorbereiding op zijwaartse beweging binnen netwerken hebben de Akira-operators de beveiligingssoftware uitgeschakeld om detectie te omzeilen. Ze werden ook waargenomen met behulp van tools als FileZilla, WinRAR, WinSCP en RClone voor data-exfiltratie, en AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok en RustDesk om command-and-control (C&C)-communicatie tot stand te brengen.

Net als andere ransomwaregroepen exfiltreert Akira de gegevens van slachtoffers voordat ze deze versleutelen. Slachtoffers krijgen de opdracht contact op te nemen met de aanvallers via een op Tor gebaseerde website en vervolgens opdracht te geven om losgeld in Bitcoin te betalen.

Om nog meer druk uit te oefenen, dreigen Akira-bedreigingsactoren geëxfiltreerde gegevens op het Tor-netwerk te publiceren en hebben ze in sommige gevallen zelfs contact opgenomen met bedrijven die het slachtoffer zijn geworden, merkten CISA, de FBI, Europol en NCSC-NL op.