Akira Ransomware IOCs

ransomware IOC
Опубликовано

Лаборатория Cyble Research and Intelligence Labs (CRIL) недавно поделилась важнейшими подробностями о деятельности недавно выявленной группы разработчиков программ-вымогателей под названием "Akira". Эта группа активно атакует многочисленные организации, ставя под угрозу их конфиденциальные данные. Стоит отметить, что программа Akira ransomware распространила свою деятельность на платформу Linux. CRIL столкнулся со сложным Linux-вариантом программы Akira ransomware.

Akira Ransomware

С момента своего появления в апреле 2023 года программа Akira ransomware уже скомпрометировала 46 жертв, о которых стало известно из открытых источников, и еще 30 жертв были выявлены после публикации в нашем предыдущем блоге. Большинство этих жертв находятся в США.

В ходе своих атак программа Akira нацелилась на широкий спектр отраслей, включая образование, банковское дело, финансовые услуги и страхование (BFSI), производство, профессиональные услуги и другие.

Вредоносный исполняемый файл Linux представляет собой 64-битный Linux Executable and Linkable Format (ELF) файл с SHA256 как 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296.

Для того чтобы выполнить исполняемый файл Akira, необходимо указать определенные параметры. Необходимые параметры для запуска исполняемого файла Akira следующие:

  • "-p" / "-encryption_path" - Путь к файлам/папке, подлежащим шифрованию.
  • "-s" / "-share_file" - Путь общего сетевого диска, который будет зашифрован.
  • "-n" / "-encryption_percent" - Процент зашифрованных файлов.
  • "-fork" - Создание дочернего процесса для шифрования.

После инициализации открытого ключа программа Akira ransomware загружает список заранее определенных расширений файлов, которые она намеревается зашифровать.

Программа-выкуп включает в себя процедуры, связанные с несколькими алгоритмами симметричных ключей, включая AES, CAMELLIA, IDEA-CB и DES. При встрече с файлом с расширением программа-вымогатель приступает к шифрованию файла.

Далее, чтобы успешно зашифровать файлы, ransomware добавляет расширение ".akira" к каждому скомпрометированному файлу и помещает в систему жертвы заранее подготовленную записку с выкупом.

Indicators of Compromise

MD5

  • 302f76897e4e5c8c98a52a38c4c98443

SHA1

  • 9180ea8ba0cdfe0a769089977ed8396a68761b40

SHA256

  • 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296
Похожие записи:
  1. BianLian Ransomware IOCs - Part 2
  2. Fake Ransomware IOCs
  3. AXLocker, Octocrypt Ransomware IOCs
  4. Punisher Ransomware IOCs
  5. WannaCry 3.0 (Crypter) Ransomware IOCs
Akira Cyble Research Labs Ransomware
Добавить комментарий