Aktualności

Poradnik #StopRansomware – Akira Ransomware

CISA, Federalne Biuro Śledcze (FBI), Europejskie Centrum Cyberprzestępczości Europolu (EC3) i holenderskie Narodowe Centrum Cyberbezpieczeństwa (NCSC-NL) opublikowały 18 kwietnia br. wspólne doradztwo w zakresie cyberbezpieczeństwa (CSA), #StopRansomware: Akira Ransomware, aby rozpowszechniać znane taktyki, techniki i procedury (TTP) oraz wskaźniki kompromitacji (IOC) oprogramowania ransomware Akira zidentyfikowane w dochodzeniach FBI w lutym 2024 roku.

Od marca 2023 r. oprogramowanie ransomware Akira miało wpływ na wiele firm i podmiotów infrastruktury krytycznej w Ameryce Północnej, Europie i Australii. W kwietniu 2023 r., po początkowym skupieniu się na systemach Windows, aktorzy zagrożeń Akira wdrożyli wariant Linux atakujący maszyny wirtualne VMware ESXi. Od 1 stycznia 2024 r. grupa ransomware miała wpływ
na ponad 250 organizacji i pochłonęła około 42 mln USD wpływów z ransomware.
Wczesne wersje wariantu ransomware Akira zostały napisane w języku C++ i szyfrowały pliki z  rozszerzeniem .akira; jednak począwszy od sierpnia 2023 r. niektóre ataki Akira zaczęły wdrażać Megazord, wykorzystując kod oparty na Rust, który szyfruje pliki z rozszerzeniem .powerranges. Aktorzy zagrożeń Akira nadal używają zamiennie zarówno Megazord, jak i Akira, w tym Akira_v2
(zidentyfikowane przez zaufane dochodzenia stron trzecich).

CISA i partnerzy zachęcają organizacje zajmujące się infrastrukturą krytyczną do przeglądu i wdrożenia środków zaradczych przewidzianych we wspólnej CSA w celu zmniejszenia prawdopodobieństwa i wpływu Akiry i innych incydentów związanych z oprogramowaniem ransomware. Więcej informacji znajdą Państwo na stronie CISA #StopRansomware oraz w zaktualizowanym przewodniku #StopRansomware.

FBI i badacze zajmujący się cyberbezpieczeństwem zaobserwowali, że podmioty stanowiące  zagrożenie Akira uzyskują początkowy dostęp do organizacji za pośrednictwem usługi wirtualnej sieci prywatnej (VPN) bez skonfigurowanego uwierzytelniania wieloskładnikowego (MFA)[1], głównie przy użyciu znanych luk w zabezpieczeniach Cisco [T1190] CVE-2020-3259 i CVE-2023-
20269[2].[Dodatkowe metody początkowego dostępu obejmują korzystanie z usług zewnętrznych, takich jak Remote Desktop Protocol (RDP) [T1133], spear phishing [T1566.001][T1566.002] oraz nadużywanie ważnych danych uwierzytelniających [T1078][4].
Po uzyskaniu początkowego dostępu aktorzy zagrożeń Akira próbują nadużywać funkcji kontrolerów domeny, tworząc nowe konta domeny [T1136.002] w celu ustanowienia trwałości. W niektórych przypadkach FBI zidentyfikowało aktorów zagrożeń Akira tworzących konto administracyjne o nazwie itadm.
Według doniesień FBI i open source, aktorzy zagrożeń Akira wykorzystują techniki ataku po eksploitacji, takie jak Kerberoasting[5], w celu wyodrębnienia danych uwierzytelniających przechowywanych w pamięci procesu usługi Local Security Authority Subsystem Service (LSASS) [T1003.001].[6] Aktorzy zagrożeń Akira używają również narzędzi do skrobania danych uwierzytelniających [T1003], takich jak Mimikatz i LaZagne, aby pomóc w eskalacji uprawnień.

Narzędzia takie jak SoftPerfect i Advanced IP Scanner są często używane do wykrywania urządzeń sieciowych (rekonesansu) [T1016], a polecenia Net Windows są używane do identyfikacji kontrolerów domeny [T1018] i zbierania informacji o relacjach zaufania domeny [T1482].

Więcej informacji informacji możesz uzyskać w zamieszczonym pod artykułem linku

#StopRansomware – Akira

Źródło: CISA and Partners Release Advisory on Akira Ransomware | CISA

 

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM