Akira 勒索軟體一年內就向銀行支付了 4,200 萬美元的贖金
據 CISA、FBI、歐洲刑警組織和荷蘭國家網路安全中心 (NCSC-NL) 稱,自 2023 年初以來,Akira 勒索軟體已針對全球 250 多名受害者,收取了超過 4,200 萬美元的贖金。
據觀察,Akira 勒索軟體的營運商攻擊各行業的組織,包括服務和商品、製造、教育、建築、關鍵基礎設施、金融、醫療保健和法律行業。
正如CISA、FBI、歐洲刑警組織和NCSC-NL 在一份報告中所強調的那樣,Akira 最初專注於Windows 系統,自2023 年4 月以來已擴大其範圍以感染VMware ESXi 虛擬機,並自2023 年8月起與Megazord 結合使用。
為了獲得初始存取權限,Akira 勒索軟體的營運商針對缺乏多重身份驗證的 VPN 服務,主要利用 Cisco 產品中的已知漏洞(例如 CVE-2020-3259 和 CVE-2023-20269)。他們還利用遠端桌面協定 (RDP)、魚叉式網路釣魚和竊取的憑證來破壞受害者的環境。
取得存取權限後,威脅行為者會建立新的網域帳戶以實現持久性,包括某些情況下的管理帳戶、提取憑證並進行網路和網域控制站偵察。
威脅行動者 Akira 運行兩種不同的變體
根據可靠的第三方調查,Akira 威脅行為者被發現在同一危害事件中針對不同的系統架構部署了兩種不同的勒索軟體變體。該通報稱,這與先前報告的 Akira 勒索軟體活動有所不同。
為了準備在網路內進行橫向移動,Akira 操作員停用了安全軟體以逃避偵測。也觀察到他們使用 FileZilla、WinRAR、WinSCP 和 RClone 等工具進行資料洩露,並使用 AnyDesk、Cloudflare Tunnel、MobaXterm、Ngrok 和 RustDesk 等工具建立命令與控制 (C&C) 通訊。
與其他勒索軟體組織類似,Akira 在加密之前會洩漏受害者的資料。受害者被指示透過基於 Tor 的網站聯繫攻擊者,隨後被指示以比特幣支付贖金。
CISA、FBI、歐洲刑警組織和 NCSC-NL 指出,為了施加進一步壓力,Akira 威脅行為者威脅要在 Tor 網路上發布洩漏的數據,甚至在某些情況下聯繫受害公司。