Группа программ-вымогателей Akira: методы и угрозы 2024 года

Группа программ-вымогателей Akira: методы и угрозы 2024 года

Программа-вымогатель Akira, недавно выявленная киберугроза, начала свою активность в марте 2023 года. Она быстро привлекла внимание специалистов по кибербезопасности благодаря своей агрессивной тактике, направленной как на шифрование файлов, так и на кражу конфиденциальной информации. Согласно последним данным, группа использует украденные данные в качестве рычага давления в переговорах с жертвами, что делает Akira одной из самых опасных программ-вымогателей в 2024 году.

Методы проникновения и атаки

Для реализации своих атак Akira использует ряд методов, среди которых можно выделить:

  • Использование учетных записей VPN без многофакторной аутентификации (MFA).
  • Атаки на известные уязвимости, такие как:
    • CVE-2019-6693 и CVE-2022-40684 от Fortinet,
    • CVE-2020-3259 и CVE-2023-20269 от Cisco,
    • CVE-2024-40766 в SonicWall,
    • CVE-2024-37085 в VMware ESXi,
    • CVE-2024-40711 в Veeam Backup & Replication.

Сбор и использование данных

Злоумышленники группы Akira применяют различные инструменты для сбора информации и осуществления атак:

  • Advanced IP Scanner и NetScan для получения сетевой информации, включая активные службы и конфигурации подсетей.
  • NLTEST и AD FIND для изучения доменных сред.
  • BloodHound для анализа атакуемых путей и повышения привилегий.
  • Для сбора учетных данных используется Mimikatz для извлечения информации из процесса LSASS.
  • Методы, такие как COMSVC.DLL и Lazagne, позволяют извлекать конфиденциальные данные, избегая обнаружения.

Тактика дальнейшего входа и шифрования данных

После получения доступа к системе Akira проводит следующие действия:

  • Создание скрытых учетных записей пользователей, чтобы избежать выявления.
  • Управление другими системами через протокол RDP или командные инструменты WMIEXEC и PSEXEC.
  • Сжатие конфиденциальной информации перед шифрованием пользовательских файлов, которые получают расширение «.akira».

Коммуникация и требования выкупа

Сообщения о требовании выкупа, сгенерированные во время атак, направляются жертвам на платформу для переговоров на базе Tor. Использование инструментов, таких как WinRAR, для сжатия файлов и протоколов FTP с приложениями WinSCP и FileZilla для передачи данных, делает операции более сложными для отслеживания.

Рекомендации по защите

Эксперты по кибербезопасности рекомендуют использовать решения, такие как AhnLab EDR, для выявления и смягчения угроз, возникающих в результате деятельности Akira. Это поможет улучшить меры реагирования и предотвращения в будущем.

Подводя итог, можно сказать, что подход Akira к программам-вымогателям включает в себя использование шифрования и утечки данных, активный поиск уязвимостей, сложные разведывательные методы и стратегии горизонтального перемещения для эффективного контроля целевых сетей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: