Akira Ransomware: Zmieniająca się siła w domenie RaaS

Akira to grupa Ransomware as a Service (RaaS), która pojawiła się w marcu 2023 r. Od tego czasu grupa zaangażowała się w dużą liczbę kampanii, szczególnie w zeszłym roku. W kwietniu 2024 r. szacowano, że Akira uzyskała ponad 42 mln USD w postaci okupów. Tylko w 2024 r. zgłoszono ponad 300 ataków. Poniższe wykresy przedstawiają całkowitą liczbę ofiar Akira według roku, liczbę ofiar Akira według miesiąca w 2024 r. oraz kraje najbardziej dotknięte Akira do tej pory.

Wiktymologia i afiliacja

Ofiary Akiry obejmują szereg organizacji, w tym firmy produkcyjne, firmy inżynieryjne i rolnicze, dostawców usług finansowych i instytucje szkolnictwa wyższego. Wiele ofiar Akiry to organizacje z siedzibą w krajach zachodnich, takich jak Stany Zjednoczone, które stanowią największą grupę demograficzną ofiar, a następnie Kanada, Wielka Brytania i organizacje z siedzibą w Niemczech.

Nazwa Akira może przywoływać miłe wspomnienia z pełnego akcji filmu science-fiction o tej samej nazwie, który został wydany w 1988 roku. Jednak nie zidentyfikowano żadnych odniesień operacyjnych ani innych odniesień kulturowych, które łączyłyby motywy i ruchy aktora ransomware z japońskim lub wschodnioazjatyckim syndykatem cyberprzestępczości. Zamiast tego Akira jest aktorem zagrożenia, który prawdopodobnie jest związany z Rosją. Rozwój ten nastąpił, gdy analitycy ds. bezpieczeństwa odkryli, że złośliwy kod Akiry został zaprojektowany w sposób uniemożliwiający jego uruchomienie w systemach wyposażonych w rosyjską klawiaturę językową. Korespondencję z członkami Akiry znaleziono na rosyjskich forach w 2022 roku. Podczas gdy nastąpił spadek korzystania z podziemnych forów na rzecz innych półanonimowych opcji, takich jak Tox i Telegram, wiele grup ransomware utrzymuje konta na forach hakerów i rynkach przestępczych, starając się dotrzeć do potencjalnych partnerów i wzbudzić dalsze zainteresowanie.

Celowanie w wiele systemów operacyjnych i opracowywanie różnych ładunków

Akira ma bogatą historię zmieniania typów ładunków, których używa w swoich operacjach. W marcu 2023 r., kiedy po raz pierwszy odkryto incydenty Akira, grupa ta przeprowadziła ataki ransomware, których celem były systemy Windows. Program szyfrujący związany z tymi atakami został zbudowany w języku C++ i dodawał rozszerzenie .akira do dotkniętych plików. Krótko po kwietniu 2023 r. grupa zmieniła bieg, aby przeprowadzić ataki za pomocą ładunku Linuksa zaprojektowanego do szyfrowania serwerów VMware ESXi.

W sierpniu 2023 r. Akira wdrożyła Megazord, aby zaatakować systemy Windows. Ta odmiana różniła się od poprzedniej wersji, która była skierowana na systemy Windows, ponieważ została skompilowana w Rust i dołączała rozszerzenie .powerranges do zaszyfrowanych plików zamiast .akira. W tym samym czasie Akira opracowała ładunek do atakowania serwerów VMware ESXi i systemów Linux przy użyciu iteracji ransomware znanego jako Akira v2.

W kwietniu 2024 r. Akira powrócił do formy, wykorzystując ładunek ransomware napisany w języku C++ do zaszyfrowania danych ofiary i dodania rozszerzenia .akira do zainfekowanych plików.

Akira v2

W przeciwieństwie do poprzednich wersji z początku 2023 r. Akira v2 jest napisana w języku Rust i została zaprojektowana tak, aby lokalizować pliki do zaszyfrowania na podstawie określonych parametrów. Ransomware Akira v2 dodaje również rozszerzenie .akiranew do plików, których dotyczy problem. Ponieważ szyfrowanie plików można lepiej dostosować do określonego typu pliku, dane, które można zaszyfrować, wykraczają poza typy plików zgłaszane w poprzednich wersjach, które były celem ransomware Akira, np. ade, .ckp, .ddpl, .edb .sq i .vdh — są to typy plików powiązane z plikami projektu bazy danych, nośnikami optycznymi, bazą danych skrzynek pocztowych Exchange i wirtualnymi dyskami twardymi.

Szyfrowanie plików, szczególnie tych kończących się na .edb i .vdh może mieć poważniejsze konsekwencje, ponieważ .edb to typ pliku, który przechowuje dane istotne dla środowiska serwera Microsoft Exchange. A .vdh to wirtualny plik dysku twardego, który współpracuje z oprogramowaniem wirtualizacyjnym. Pomimo faktu, że szereg powszechnych typów plików dokumentów i baz danych, które są istotne dla zarządzania maszynami wirtualnymi na hostach Windows lub Linux, w tym .vdi, .vmdk, vmem, .vmsn, vmsd, .vmx, .vhdx, .vsv, .avhd, .vmrs, .vhdx, .avdx i .vmcx, można zaszyfrować po wykryciu, możliwość dostosowywania w celu znalezienia innych plików sprawia, że ransomware jest zabójczy.

Teraźniejszość: Czy to era Post v2?

Akira v2 miała się odrodzić wiosną 2024 r. Jednak w październiku 2024 r. raporty udokumentowały dalsze zmiany w taktyce Akiry, a szczep, który miał dołączyć do opartego na Rust v2 Akiry wśród rosnącej liczby incydentów Akiry. Aktor zagrożenia wdrożył kilka zmian w szczepie ransomware, w tym powrót do kodu napisanego w C++ i użycie ChaCha8.

Chociaż od czasu pierwszych raportów o ich wykryciach może występować mniej przypadków iteracji v2 i Megazord, te wersje są nadal identyfikowane w środowisku naturalnym. Ważne jest również, aby zauważyć, że inne grupy ransomware, takie jak Cicada3301 i Qiilin, używały ładunków ransomware napisanych w Rust, aby uczynić zarówno działania deasemblacji, jak i wykrywania złośliwego oprogramowania znacznie trudniejszymi.

Strona wycieku danych Akiry i notatka o oprogramowaniu ransomware

Witryna wycieku danych Akiry ma interfejs wiersza poleceń. Użytkownik może wprowadzać polecenia na stronie wycieku danych, takie jak leaks, aby wygenerować listę wyciekłych informacji i news, aby zwrócić informacje o nadchodzących wyciekach lub ofiarach.

Adresy URL są zawarte w obszarze Leaks na stronie data leaks, umożliwiając użytkownikom dostęp do skradzionych treści. Użytkownicy, którzy chcą pobrać wycieki, mogą to zrobić za pośrednictwem klienta torrent. Pliki archiwalne zawierające wycieki są również dostarczane, niektóre wycieki są chronione hasłem. Jednak hasła są dostarczane z informacjami o każdym torrencie.

Rysunek 1: Strona wycieku danych Akiry – strona wejściowa

Rysunek 2: Strona docelowa kanału korespondencji czatowej dla ofiar

W poprzednich notatkach dotyczących ataków ransomware Akira nakazywał ofiarom skontaktowanie się z nim w celu uzyskania dodatkowych informacji, podając link do strony internetowej i unikalny identyfikator czatu.

Wygląda na to, że używanie takiego identyfikatora czatu nie jest już popularne, prawdopodobnie ze względu na obecną funkcjonalność głównej witryny internetowej Akiry, która zawiera argument „skontaktuj się z nami” w interfejsie wiersza poleceń, który akceptuje nazwy i treść wiadomości przekazywane do działu pomocy technicznej.

Akira zachęca ofiary do skontaktowania się z nimi w celu uzyskania szczegółowych informacji na temat odzyskiwania po incydencie, podając imię i nazwisko oraz adres e-mail za pośrednictwem interfejsu wiersza poleceń witryny wycieków danych. Aktor zagrożenia wspomina, że przykładowy deszyfrator testowy może zostać udostępniony dotkniętym organizacjom, które skontaktują się z nimi bezpośrednio.

Treść notatki Akiry dotyczącej oprogramowania ransomware wskazuje na chęć zrozumienia przychodów organizacji i negocjacji, jeśli zajdzie taka potrzeba, co ilustruje poniższy fragment:

„Co więcej, przed zaszyfrowaniem zabezpieczyliśmy znaczną część Twoich danych firmowych. Na razie zachowajmy wszystkie łzy i urazy dla siebie i spróbujmy nawiązać konstruktywny dialog… Współpracując z nami zaoszczędzisz WIELE, ponieważ nie zależy nam na zrujnowaniu Twojej sytuacji finansowej.

Przeanalizujemy dogłębnie Twoje finanse, wyciągi bankowe i dochodowe, Twoje oszczędności, inwestycje itp. I przedstawimy Ci naszą rozsądną kwotę. Jeśli masz aktywne ubezpieczenie cybernetyczne, daj nam znać, a my poprowadzimy Cię, jak prawidłowo z niego korzystać. Ponadto przedłużanie procesu negocjacji doprowadzi do niepowodzenia transakcji.”

Taktyka

W poniższej sekcji znajdują się dalsze informacje na temat taktyk stosowanych przez Akirę i mapowania tych wzorców na strukturę MITRE ATT&CK.

Dostęp początkowy

Akira, znana z wykorzystywania powszechnych luk w zabezpieczeniach, w tym tych wpływających na narzędzia do zdalnego dostępu i aplikacje zewnętrzne, uzyskała wstępny dostęp, wykorzystując luki w zaporach sieciowych, produktach VPN i usługach w chmurze.

W tym roku, godne uwagi luki wykorzystane w atakach Akiry obejmowały CVE-2024-37085 i CVE-2024-40711, które wpływają odpowiednio na serwery ESXi i usługę tworzenia kopii zapasowych Veeam. Aktor zagrożenia użył narzędzi takich jak Veeam-Get-Creds i Veeam Hax, aby uzyskać i zarządzać wyciekiem poświadczeń do serwerów Veeam.

Środowiska składające się z produktów SonicWall wyposażonych w system SonicOS również zostały w tym roku zaatakowane przez ransomware Akira; w atakach tych wykorzystano lukę w zabezpieczeniach o nazwie CVE-2024-40766.

Akira ustanowiła również dostęp początkowy wykorzystując zagrożone dane uwierzytelniające lub uzyskując je innymi sposobami, np. za pośrednictwem brokera dostępu początkowego.

Odkrycie

Akira wykonuje podstawowe czynności związane z odkrywaniem i rozpoznaniem hostów, wdrażając narzędzia takie jak skanery IP i Adfind, które inicjują zapytania pozwalające uzyskać dane na temat ekosystemu Active Directory.

Akira jest również w stanie odkrywać działające procesy, narzędzia bezpieczeństwa i język systemu docelowego. Te zadania są zazwyczaj wykonywane poprzez wykorzystanie interakcji z interfejsami API firmy Microsoft.

Wykonanie

Plik oprogramowania ransomware został umieszczony na komputerze ofiary; złośliwe pliki wykonywalne, takie jak w.exe i win.exe, były powiązane z możliwościami szyfrowania w kampaniach Akiry, oprócz plików .ELF, które były wykorzystywane do atakowania systemów Linux.

Trwałość

Akira ustanawia trwałość, tworząc klucze rejestru i modyfikując ustawienia hosta. W atakach, które najpierw wykorzystują wyciekłe dane uwierzytelniające i słabości wpływające na kontroler domeny, aktor zagrożenia konfiguruje konta domeny, aby utrzymać silniejszą obecność.

Ruch boczny

Tworzenie przez Akirę kont, takich jak konto kopii zapasowej powiązane z Veeam, i korzystanie z narzędzi do uzyskiwania danych uwierzytelniających, ułatwia im wykonywanie działań poziomych.

Uchylanie się od obrony

Akira ransomware potrafi wykrywać i omijać debuggery; charakteryzuje się również elementami kodowania, w tym kodowaniem Base64 i zaciemnianiem w celu ukrycia plików i procesów. W ostatniej iteracji Akira wprowadzono komponent, który ogranicza jego wykonywanie w środowisku analizy; tym komponentem jest użycie unikalnego identyfikatora kompilacji.

Hamowanie odzyskiwania systemu

Akira jest w stanie usuwać kopie woluminów w tle; jest to działanie, które można wykonać za pomocą skryptu PowerShell. Skrypt odwołuje się do polecenia, które usuwa kopie woluminów w tle po ich zlokalizowaniu za pomocą interakcji z WMI. Organizacje, które używają kopii zapasowych, które nie są oceniane na poziomie pliku i polegają na kopiach woluminów w tle, poniosą dotkliwą stratę, jeśli padną ofiarą ataku ransomware Akira.

Odmiana ransomware ESXI na Linuksie umożliwia również atakującemu wywołanie polecenia vmonly w celu ograniczenia zakresu ataku do maszyn wirtualnych oraz polecenia stopvm w celu zamknięcia aktywnych maszyn wirtualnych.

Uderzenie

Szyfrowanie i eksfiltracja to działania będące wynikiem ataków ransomware Akiry. Narzędzia takie jak WinSCP i Rclone są używane przez aktora zagrożenia do eksfiltracji danych.

Co dalej?

Ponieważ ransomware Akira nadal atakuje organizacje na całym świecie, ważne jest, aby organizacje monitorowały swoje ekosystemy pod kątem wzorców naruszeń i były informowane o różnych aktywnych szczepach ransomware Akira. Obejmuje to nie tylko v2 i Megazord, ale także najnowszy kod ransomware. Akira odnotowała duży wzrost liczby incydentów miesięcznie wkrótce po pierwszej połowie 2024 r. Oczekujemy, że ten wzorzec wzrostu utrzyma się do 2025 r.

Zalecenia

Wdrażaj środki tworzenia kopii zapasowych i odzyskiwania: Zaplanuj regularne tworzenie kopii zapasowych, upewnij się, że są one testowane i przechowuj kopie zapasowe w systemie oddzielonym od głównej sieci. Zaleca się przechowywanie kopii zapasowych w lokalizacji offline i/lub środowisku chmurowym.

Wprowadź kontrolę ochrony sieci: Egzekwuj obronę przed atakami sieciowymi i segmentację sieci: segmentuj sieci, aby ograniczyć skutki ruchu bocznego w przypadku naruszenia punktu końcowego i upewnij się, że krytyczne systemy nie wchodzą w interakcję z zasobami, które mogą mieć szeroką powierzchnię ataku.

Zarządzanie poprawkami: Regularnie oceniaj poprawki i aktualizacje do wdrożenia, ustalając ich priorytety na podstawie ich wpływu na zasoby organizacji.

Wdróż rozwiązania zabezpieczające pocztę e-mail: Użyj rozwiązań filtrujących pocztę e-mail, aby blokować złośliwe wiadomości e-mail, załączniki i linki. Zwiększ poziom ochrony, włączając piaskownicę załączników. Umożliwia to skanowanie w czasie rzeczywistym i proaktywne wykrywanie oprogramowania ransomware zawartego w załącznikach, zanim zostaną one dostarczone użytkownikowi.

Wykonaj plan reagowania na incydenty: Szybka reakcja jest istotną częścią ochrony przed ransomware i łagodzenia skutków. Terminowe, proaktywne podejście ma duże znaczenie podczas wykonywania działań reagowania na incydenty. Upewnij się, że zespół ds. bezpieczeństwa dysponuje ludźmi, procesami i technologiami, które pozwolą na dokładne zbadanie incydentu i zareagowanie na niego, np. blokując adresy IP, zatrzymując procesy lub izolując hosty, aby odciąć atakującemu dostęp do krytycznych danych i zasobów oraz zapobiec dalszej eksploatacji.

Wdróż rozwiązania Endpoint Detection and Response (EDR): Użyj technologii Bitdefender EDR i/lub MDR, które wykorzystują aktywny monitoring przy użyciu wykrywania opartego zarówno na zachowaniu, jak i heurystyce, aby zapewnić, że początkowe wektory infekcji zostaną dokładnie wykryte i przekazane do zbadania. Włącz wykrywanie zagrożeń w czasie rzeczywistym i automatyczne reakcje, aby umożliwić wykonanie środków zaradczych, takich jak blokowanie i izolowanie, na urządzeniach narażonych na atak ransomware.

Wykorzystaj Operational Threat Intelligence: Odpowiednie rozwiązanie do analizy zagrożeń może zapewnić krytyczne informacje o atakach. Bitdefender IntelliZone to łatwe w użyciu rozwiązanie, które konsoliduje całą wiedzę, jaką zebraliśmy na temat cyberzagrożeń i powiązanych aktorów zagrożeń, w jednym panelu dla analityków bezpieczeństwa, w tym dostęp do usługi analizy złośliwego oprogramowania nowej generacji Bitdefender.

Jeśli posiadasz już konto IntelliZone, w obszarze Identyfikatory zagrożeń możesz znaleźć dodatkowe ustrukturyzowane informacje obejmujące: BD1v4nw4su, BDcrena0eu, BDc7c2411y, BD80wyffwi, BD0sod05yv, BDx5nkwaqw i BDqy7jftkp.

Bezpieczny dostęp zdalny: Wymuś uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich punktów dostępu zdalnego, w tym VPN i RDP. Użyj VPN lub bezpiecznej bramy dostępu dla użytkowników zdalnych zamiast udostępniać RDP bezpośrednio w Internecie.