U ožujku 2023. prvi put je otkriven soj ransomwarea Akira, a od tada je grupa ciljala preko 100 različitih organizacija u različitim sektorima, uključujući financijske, proizvodne, nekretninske, zdravstvene i medicinske. Grupa djeluje na modelu Ransomware-as-a-Service (RaaS) i koristi shemu dvostrukog iznuđivanja eksfiltracijom osjetljivih podataka prije šifriranja uređaja i zatim zahtijevanjem otkupnine u zamjenu za neobjavljivanje podataka na njihovom mjestu curenja TOR-a.

Nedavno je ransomware Akira prekinuo američki dispečerski sustav za hitne slučajeve, što je rezultiralo devetodnevnim prekidom rada. Tijekom tog razdoblja dispečeri su se morali oslanjati na rezervne sustave, a od posljednjeg ažuriranja potpuna obnova sustava još uvijek je u tijeku.

Banda ransomwarea Akira poznata je po svojoj retro estetici, koja podsjeća na konzole sa zelenim ekranom iz 1980-ih, a povezana je s ozloglašenom operacijom ransomwarea Conti putem transakcija kriptovalutama, što ukazuje na potencijalnu povezanost dviju skupina.

Grupa obično dobiva neovlašteni pristup VPN-ovima organizacija koristeći kompromitirane kombinacije korisničkog imena/lozinke, što im omogućuje bočno kretanje unutar mreže i iskorištavanje različitih ranjivosti u sustavu. Korištenje alata i tehnika kao što su Remote Desktop Protocol (RDP) i alati za upravljanje uslugama pomaže im da dobiju trajni pristup unutar sustava i izbjegnu sigurnosnu obranu.

Grupa ransomwarea Akira oslanja se na mehanizam naredbe i kontrole (C2) za izvršavanje svojih aktivnosti, uspostavljanje komunikacije s kompromitiranim strojevima i vršenje kontrole nad mrežom. Oni također koriste različite alate za eksfiltraciju podataka i koriste kombinaciju AES i RSA algoritama za enkripciju podataka, komplicirajući proces vraćanja podataka žrtvama.

Kako bi spriječili i obranili se od napada ransomwarea Akira, organizacijama se savjetuje da poboljšaju svoje upravljanje identitetom i pristupom, sigurno pohrane vjerodajnice i proaktivno krpaju i nadziru svoju mrežu za neobične aktivnosti. Osim toga, osiguranje C2 kanala i protokola za udaljenu radnu površinu, implementacija zaštite krajnje točke i redovito ažuriranje sigurnosnih rješenja preporučene su mjere za ublažavanje rizika od napada ransomwarea Akira.

Link na izvor