Хакер #305. Многошаговые SQL-инъекции
Эксперты изучают вымогательскую группировку Akira, которая скомпрометировала как минимум 63 организации с марта 2023 года, в основном атакуя малый и средний бизнес. Аналитики компании Arctic Wolf полагают, что за Akira могут стоять несколько человек, связанных с уже неактивной группировкой Conti.
Как уже было сказано выше, в основном Akira атакует малый и средний бизнес, и жертвами шифровальщика становятся компании по всему миру, хотя основное внимание хакеры уделяют целям в США и Канаде.
Обычно Akira проникает в целевые системы под управлением Windows и Linux через VPN-сервисы, особенно если пользователи не включили многофакторную аутентификацию. Чтобы получить доступ к устройствам жертв, злоумышленники используют скомпрометированные учетные данные, которые, скорее всего, покупают в даркнете.
Как только система заражена, Akira стремится удалить резервные копии, которые можно использовать для восстановления данных, а затем вымогатель шифрует файлы с определенными расширениями, добавляя к каждому из них расширение «.akira».
Послание с требованием выкупа, которое злоумышленники оставляют в системе, написано на английском языке, но содержит множество ошибок. В этом сообщении группировка утверждает, что не хочет причинять жертве серьезный финансовый ущерб, и размер выкупа будет определен исходя из доходов и сбережений пострадавшей компании. Обычно Akira требует выкуп в размере от 200 000 до 4 000 000 долларов США.
Эксперты отмечают, что Akira использует тактику «двойного вымогательства», не только шифруя данные жертв, но и похищая информацию из скомпрометированных систем до шифрования. После этого злоумышленники угрожают опубликовать или продать эти данные другим преступникам, если не получат выкуп.
«Группа не настаивает на том, чтобы компания оплатила как расшифровку данных, так и удаление украденной информации. Вместо этого Akira предлагает жертвам возможность выбирать, за что они хотели бы заплатить», — пишут специалисты.
По словам исследователей, программа-вымогатель Akira во многом похожа на Conti. Малварь игнорирует те же типы файлов и каталоги, а также использует аналогичный алгоритм шифрования. Но стоит учитывать, что в начале 2022 года иcходники Conti попали в открытый доступ, и теперь атрибуция атак стала более сложной.
Еще в июне исследователи из Avast обнародовали аналогичные данные о вероятной связи Akira с Conti, заявив, что создатели нового вымогателя как минимум «вдохновлялись утекшими исходными кодами Conti».
Стоит отметить, что ранее в этом месяце Avast выпустила бесплатный инструмент для дешифровки файлов, пострадавших в результате атак Akira. Пока инструмент работает только в Windows, и после его релиза операторы малвари изменили процедуру шифрования, чтобы предотвратить бесплатное восстановление файлов.
Исследователи Arctic Wolf, в свою очередь, сосредоточились на блокчейн-анализе и обнаружили три подозрительные транзакции, в рамках которых пользователи Akira перечислили более 600 000 долларов на адреса, связанные с Conti. По словам экспертов, два обнаруженных кошелька ранее уже связывали с руководством Conti, причем на один из них поступали платежи от нескольких семейств вымогателей.
«Хотя Conti распалась из-за внутреннего конфликта и публикации их исходного кода, в 2023 году многие участники Conti продолжили сеять хаос в организациях благодаря своей работе с другими RaaS-группировками, включая Akira», — резюмируют специалисты Arctic Wolf.