Akira Ransomware banker $42 millioner i løsepenger i løpet av ett år

Siden tidlig i 2023 har Akira løsepengeprogramvare rettet mot mer enn 250 ofre globalt og samlet inn over 42 millioner dollar i løsepenger, ifølge CISA, FBI, Europol og Nederlandens nasjonale cybersikkerhetssenter (NCSC-NL).

Operatørene av Akira løsepengevare har blitt observert angripe organisasjoner på tvers av ulike sektorer, inkludert tjenester og varer, produksjon, utdanning, konstruksjon, kritisk infrastruktur, finans, helsevesen og juridiske bransjer.

Opprinnelig fokusert på Windows-systemer, har Akira utvidet rekkevidden til å infisere virtuelle VMware ESXi-maskiner siden april 2023 og har blitt brukt sammen med Megazord siden august 2023, som fremhevet i en rådgivning fra CISA, FBI, Europol og NCSC-NL.

For å få innledende tilgang målrettet operatørene av Akira løsepengevare VPN-tjenester som mangler multifaktorautentisering, og utnyttet først og fremst kjente sårbarheter i Cisco-produkter (som CVE-2020-3259 og CVE-2023-20269). De brukte også ekstern skrivebordsprotokoll (RDP), spear-phishing og stjålne legitimasjon for å bryte ofrenes miljøer.

Etter å ha fått tilgang opprettet trusselaktørene nye domenekontoer for utholdenhet, inkludert administrative kontoer i noen tilfeller, hentet ut legitimasjon og gjennomførte nettverks- og domenekontroller-rekognosering.

Trusselskuespiller som driver Akira kjører to forskjellige varianter

Basert på troverdige tredjepartsundersøkelser har Akira-trusselsaktører blitt observert som distribuerer to forskjellige løsepengevarevarianter rettet mot forskjellige systemarkitekturer innenfor samme kompromisshendelse. Dette representerer et skifte fra tidligere rapportert Akira løsepenge-aktivitet, uttalte rådgiveren.

Som forberedelse til sideveis bevegelse i nettverk, deaktiverte Akira-operatørene sikkerhetsprogramvare for å unngå oppdagelse. De ble også observert ved å bruke verktøy som FileZilla, WinRAR, WinSCP og RClone for dataeksfiltrering, og AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok og RustDesk for å etablere kommando-og-kontroll (C&C) kommunikasjon.

I likhet med andre løsepengevaregrupper eksfiltrerer Akira ofrenes data før de krypterer dem. Ofre blir bedt om å kontakte angriperne via et Tor-basert nettsted og deretter bedt om å betale løsepenger i Bitcoin.

For å bruke ytterligere press, truer Akira-trusselsaktører med å publisere eksfiltrerte data på Tor-nettverket og har til og med kontaktet utsatte selskaper i noen tilfeller, bemerket CISA, FBI, Europol og NCSC-NL.