Согласно совместному заявлению ФБР, CISA, Европейского центра киберпреступности Европола (EC3) и Национального центра кибербезопасности Нидерландов (NCSC-NL), с начала 2023 года шифровальщик Akira взломал сети более 250 организаций и собрал около 42 млн долларов в качестве выкупов.
ВымогательAkira появлся в марте 2023 года и быстро приобрел известность, атакуя жертв в различных отраслях по всему миру. К июню 2023 года разработчики малвари создали Linux-шифровальщик для виртуальных машин VMware ESXi, широко используемых в корпоративных средах.
По данным экспертов, в среднем операторы Akira требуют от пострадавших выкуп в размере от 200 000 до нескольких миллионов долларов, в зависимости от размера взломанной организации.
Как теперь сообщают правоохранители, по состоянию на 1 января 2024 года группировка атаковала 250 организаций в Северной Америке, Европе и Австралии, и потребовала у жертв около 42 млн долларов США в качестве выкупов.
К примеру, в декабре 2023 года представители Akira сообщали об атаке системы компании Nissan в Австралии и Новой Зеландии, и позже в компании подтвердили утечку данных 100 000 человек. Также недавно операторы Akira взломали Стэнфордский университет, который в прошлом месяце так же предупредил об утечке данных, затронувшей личную информацию 27 000 человек.
Суммарно с момента появления в 2023 году группировка сообщила атаках более чем на 230 организаций на своем сайте в даркнете.
К своему отчету правоохранители приложили индикаторы компрометации (IOC) Akira, а также информацию о тактиках и методах, используемых группой, которые были выявленных в ходе расследований ФБР, начиная с февраля 2024 года.
Так, сообщается, что для первоначального доступа к сетям целей операторы малвари нацеливаются на VPN-сервисы, в которых отсутствует многофакторная аутентификация, в основном используя известные уязвимости в продуктах Cisco (такие как CVE-2020-3259 и CVE-2023-20269). Кроме того, хакеры нередко используют протокол удаленного рабочего стола (RDP), целевой фишинг и действительных учетные данные для доступа к средам жертв.
Чтобы повысить привилегии, злоумышленники применяют такие решения, как Mimikatz и LaZagne, а Windows RDP в основном используется для бокового перемещения внутри сети жертвы. Эксфильтрация данных осуществляется с помощью FileZilla, WinRAR, WinSCP и RClone.
