Группа программ-вымогателей Akira: методы и угрозы 2024 года

Программа-вымогатель Akira, недавно выявленная киберугроза, начала свою активность в марте 2023 года. Она быстро привлекла внимание специалистов по кибербезопасности благодаря своей агрессивной тактике, направленной как на шифрование файлов, так и на кражу конфиденциальной информации. Согласно последним данным, группа использует украденные данные в качестве рычага давления в переговорах с жертвами, что делает Akira одной из самых опасных программ-вымогателей в 2024 году.
Методы проникновения и атаки
Для реализации своих атак Akira использует ряд методов, среди которых можно выделить:
- Использование учетных записей VPN без многофакторной аутентификации (MFA).
- Атаки на известные уязвимости, такие как:
- CVE-2019-6693 и CVE-2022-40684 от Fortinet,
- CVE-2020-3259 и CVE-2023-20269 от Cisco,
- CVE-2024-40766 в SonicWall,
- CVE-2024-37085 в VMware ESXi,
- CVE-2024-40711 в Veeam Backup & Replication.
Сбор и использование данных
Злоумышленники группы Akira применяют различные инструменты для сбора информации и осуществления атак:
- Advanced IP Scanner и NetScan для получения сетевой информации, включая активные службы и конфигурации подсетей.
- NLTEST и AD FIND для изучения доменных сред.
- BloodHound для анализа атакуемых путей и повышения привилегий.
- Для сбора учетных данных используется Mimikatz для извлечения информации из процесса LSASS.
- Методы, такие как COMSVC.DLL и Lazagne, позволяют извлекать конфиденциальные данные, избегая обнаружения.
Тактика дальнейшего входа и шифрования данных
После получения доступа к системе Akira проводит следующие действия:
- Создание скрытых учетных записей пользователей, чтобы избежать выявления.
- Управление другими системами через протокол RDP или командные инструменты WMIEXEC и PSEXEC.
- Сжатие конфиденциальной информации перед шифрованием пользовательских файлов, которые получают расширение «.akira».
Коммуникация и требования выкупа
Сообщения о требовании выкупа, сгенерированные во время атак, направляются жертвам на платформу для переговоров на базе Tor. Использование инструментов, таких как WinRAR, для сжатия файлов и протоколов FTP с приложениями WinSCP и FileZilla для передачи данных, делает операции более сложными для отслеживания.
Рекомендации по защите
Эксперты по кибербезопасности рекомендуют использовать решения, такие как AhnLab EDR, для выявления и смягчения угроз, возникающих в результате деятельности Akira. Это поможет улучшить меры реагирования и предотвращения в будущем.
Подводя итог, можно сказать, что подход Akira к программам-вымогателям включает в себя использование шифрования и утечки данных, активный поиск уязвимостей, сложные разведывательные методы и стратегии горизонтального перемещения для эффективного контроля целевых сетей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



