Новая кампания Akira-Babuk атакует Южную Америку

В Южной Америке выявлена новая заметная ransomware campaign, которая имитирует хорошо известную Akira Ransomware, но при этом использует encryptor на базе Babuk. По оценке экспертов по Cybersecurity, такая комбинация поддельного брендинга и доступного кода представляет серьезную угрозу: злоумышленники не только шифруют данные, но и целенаправленно создают видимость атаки со стороны другой, уже известной ransomware group.

Как работает новая схема

Жертвы кампании обнаруживают зашифрованные файлы с расширением .akira, а также ransom note, которое практически полностью повторяет сообщения, выпускаемые оригинальной Akira ransomware group. Это повышает внешнюю убедительность атаки и может затруднить быструю идентификацию реального источника инцидента.

Ключевая особенность этой кампании — использование encryptor, производного от Babuk. Исходный код Babuk давно стал доступен после утечки, и с тех пор различные threat actors перепрофилируют его для создания новых ransomware-variant с относительно низким порогом входа. В данном случае, по сути, был проведен ребрендинг Babuk под Akira: от расширения файлов до оформления и языка уведомления о выкупе.

Злоумышленники даже направляют жертв на URL-адреса в Tor, визуально и по структуре напоминающие подлинную инфраструктуру Akira group.

Сдвиг географии атак

Новая кампания указывает на заметный географический сдвиг в активности ransomware. Если традиционно подобные операции были в основном сфокусированы на North America и Europe, то теперь внимание смещается в сторону South America.

По мнению аналитиков, это может означать, что преступники:

• тестируют новые рынки;
• оценивают реакцию компаний на имитацию известного бренда;
• используют менее изученные регионы как площадку для последующих, более сложных атак.

Почему имитация Akira опасна

Глобальная тенденция impersonation ransomware усиливает риски для организаций. Используя имя Akira, киберпреступники эксплуатируют уже сформированную репутацию ransomware group, повышают психологическое давление на жертв и одновременно дистанцируются от оригинальной группы.

Для служб безопасности это означает, что полагаться только на содержание ransom note недостаточно. Как показывает эта кампания, внешний вид сообщения о выкупе может быть намеренно скопирован, а истинная принадлежность атаки — подменена.

Что рекомендуется организациям

Эксперты советуют компаниям в South America и за ее пределами усилить базовые меры защиты. Среди приоритетных шагов:

• регулярно обновлять все системы Windows;
• внедрить network segmentation, чтобы локализовать возможный ущерб от ransomware;
• поддерживать регулярные автономные backups, позволяющие восстановить данные без выплаты выкупа;
• отслеживать неожиданные расширения файлов .akira как ранний indicator of compromise.

Специалисты подчеркивают: чем быстрее организация распознает признаки имитационной ransomware campaign, тем выше шансы ограничить последствия инцидента и избежать дополнительных потерь.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.