Программа-вымогатель Akira заработала 42 миллиона долларов в виде выкупа за год

По данным CISA, ФБР, Европола и Национального центра кибербезопасности Нидерландов (NCSC-NL), с начала 2023 года программа-вымогатель Akira атаковала более 250 жертв по всему миру и собрала более 42 миллионов долларов в виде выкупа.

Было замечено, что операторы программы-вымогателя Akira атакуют организации в различных секторах, включая услуги и товары, производство, образование, строительство, критически важную инфраструктуру, финансы, здравоохранение и юридическую промышленность.

Первоначально ориентированная на системы Windows, Akira расширила сферу своей деятельности для заражения виртуальных машин VMware ESXi с апреля 2023 года и использовалась совместно с Megazord с августа 2023 года, как указано в рекомендациях CISA, ФБР, Европола и NCSC-NL.

Чтобы получить первоначальный доступ, операторы программы-вымогателя Akira нацелились на VPN-сервисы без многофакторной аутентификации, в первую очередь используя известные уязвимости в продуктах Cisco (такие как CVE-2020-3259 и CVE-2023-20269). Они также использовали протокол удаленного рабочего стола (RDP), целевой фишинг и украденные учетные данные для взлома среды жертв.

Получив доступ, злоумышленники создали новые учетные записи домена для обеспечения устойчивости, включая в некоторых случаях административные учетные записи, извлекли учетные данные и провели разведку сети и контроллера домена.

Злоумышленник, управляющий Акирой, использует два различных варианта

На основании достоверных сторонних расследований было замечено, что злоумышленники Akira развернули два разных варианта программы-вымогателя, нацеленные на разные системные архитектуры, в рамках одного и того же события взлома. Это представляет собой отход от ранее сообщавшейся активности программы-вымогателя Akira, говорится в сообщении.

Готовясь к поперечному перемещению внутри сетей, операторы «Акиры» отключили программное обеспечение безопасности, чтобы избежать обнаружения. Они также были замечены с использованием таких инструментов, как FileZilla, WinRAR, WinSCP и RClone для кражи данных, а также AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok и RustDesk для установления связи для управления и контроля (C&C).

Как и другие группы вымогателей, Akira крадет данные жертв перед их шифрованием. Жертвам предлагается связаться с злоумышленниками через веб-сайт Tor, а затем заплатить выкуп в биткойнах.

Чтобы оказать дальнейшее давление, злоумышленники Akira угрожают опубликовать украденные данные в сети Tor и в некоторых случаях даже связывались с пострадавшими компаниями, отмечают CISA, ФБР, Европол и NCSC-NL.