Программа Akira ransomware появилась в марте 2023 года, и с тех пор банда заявляет об успешных атаках на различные организации в сфере образования, финансов, недвижимости и др.
Akira Ransomware
Akira ransomware поставляется в виде 64-битного бинарного файла, написанного для операционной системы Windows. Она написана на языке C++ с большой поддержкой библиотек C++. Кроме того, для реализации асинхронного кода шифрования использовалась библиотека Boost. Бинарный файл связан с помощью Microsoft Linker версии 14.35.
В июне 2023 года исследователь безопасности rivitna опубликовал образец, скомпилированный для Linux. Версия для Linux является 64-битной и использует библиотеку Boost.
Во время запуска программа генерирует симметричный ключ шифрования с помощью CryptGenRandom(), который является генератором случайных чисел, реализованным в Windows CryptoAPI. Файлы шифруются с помощью Chacha 2008 (реализация Д. Дж. Бернштейна).
Симметричный ключ шифруется шифром RSA-4096 и добавляется в конец зашифрованного файла. Открытый ключ жестко закодирован в двоичном файле ransomware и отличается для каждого образца.
При поиске файлов для шифрования Akira не особенно привередлива. В то время как штаммы ransomware обычно имеют список типов файлов для шифрования, Akira имеет список файлов, которые не следует шифровать:
- .exe
- .dll
- .lnk
- .sys
- .msi
- akira_readme.txt
Кроме того, есть папки, которые всегда игнорируются Akira:
- winnt
- temp
- thumb
- $Recycle.Bin
- $RECYCLE.BIN
- System Volume Information
- Boot
- Windows
- Trend Micro
Существует даже старая папка winnt, которая использовалась в качестве папки по умолчанию при установке Windows 2000.
Схема шифрования для небольших файлов
Файлы шифруются в зависимости от их размера. Для файлов размером 2 000 000 байт и меньше программа-вымогатель шифрует первую половину файла. Структура такого зашифрованного файла выглядит следующим образом:
Тип блока | Размер |
Зашифрованный блок | Размер файла / 2 |
Блок с открытым текстом | Размер файла / 2 |
Нижний колонтитул файла | 534 байта |
Схема шифрования для больших файлов
Для файлов размером более 2 000 000 байт Akira шифрует четыре блока. Сначала вычисляется размер полного блока, Затем вычисляется размер зашифрованной части блока/
Затем создается макет зашифрованного файла
Тип блока | Размер |
Зашифрованный блок №1 | EncryptedLength |
Блок открытого текста | BlockLength - EncryptedLength |
Зашифрованный блок №2 | EncryptedLength |
Блок обычного текста | BlockLength - EncryptedLength |
Зашифрованный блок #3 | EncryptedLength |
Блок обычного текста | BlockLength - EncryptedLength |
Зашифрованный блок #4 | EncryptedLength |
Блок обычного текста | Остальная часть файла |
Нижний колонтитул файла | 534 байта |
Зашифрованные файлы можно узнать по расширению .akira. В каждую папку забрасывается файл с именем akira_readme.txt - записка о выкупе.
В записке о выкупе упоминаются два сайта TOR. На первом из них пользователь может перечислить взломанные компании; на втором жертвы получают инструкции о том, как произвести оплату.
Linux-версия Akira
Linux-версия программы Akira ransomware работает так же, как и ее аналог для Windows. Зашифрованные файлы имеют то же расширение и ту же схему шифрования. Очевидно, что Windows CryptoAPI недоступен в Linux, поэтому авторы вымогательской программы использовали библиотеку Crypto++, чтобы покрыть те части, которые обрабатываются CryptoAPI в Windows.
Сходство с Conti
Akira имеет несколько общих черт с программой Conti v2 ransomware, что может указывать на то, что авторы вредоносной программы, по крайней мере, вдохновлялись просочившимися источниками Conti. Общие черты включают:
- Список исключений типов файлов. Akira игнорирует файлы с теми же расширениями, что и Conti, за исключением того, что вместо R3ADM3.txt имеется akira_readme.txt.
- Список исключений каталогов. Опять же, Akira игнорирует те же папки, что и Conti, включая winnt и Trend Micro, что делает папку установки Trend Micro по умолчанию особенно устойчивой к обоим штаммам вымогательского ПО.
- Структура хвоста файла Akira аналогична хвосту файла, добавленного Conti
- Реализация ChaCha 2008, используемая в Akira ransomware, такая же, как и в Conti ransomware.
- Код генерации ключей (два вызова CryptGenRandom и CryptEncrypt) напоминает функцию генерации ключей Conti.
Indicators of Compromise
SHA256
- 1b6af2fbbc636180dd7bae825486ccc45e42aefbb304d5f83fafca4d637c13cc
- 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296
- 3c92bfc71004340ebc00146ced294bc94f49f6a5e212016ac05e7d10fcb3312c
- 5c62626731856fb5e669473b39ac3deb0052b32981863f8cf697ae01c80512e5
- 678ec8734367c7547794a604cc65e74a0f42320d85a6dce20c214e3b4536bb33
- 6cadab96185dbe6f3a7b95cf2f97d6ac395785607baa6ed7bf363deeb59cc360
- 7b295a10d54c870d59fab3a83a8b983282f6250a0be9df581334eb93d53f3488
- 8631ac37f605daacf47095955837ec5abbd5e98c540ffd58bb9bf873b1685a50
- 9ca333b2e88ab35f608e447b0e3b821a6e04c4b0c76545177890fb16adcab163
- d0510e1d89640c9650782e882fe3b9afba00303b126ec38fdc5f1c1484341959