Akira - это широко распространенная программа выкупа как услуги, которая действует с марта 2023 года и нацелена в основном на различные отрасли промышленности в Северной Америке, Великобритании и Австралии. Она действует путем удаления данных перед их шифрованием для достижения двойного вымогательства. По данным сайтов-утечек, группировка, стоящая за Akira, заразила более 196 организаций.
Akira Ransomware
Akira связана с группой Conti, которая в марте 2022 года допустила крупную утечку, в результате которой были раскрыты исходный код, журналы чатов, учебные пособия и серверы для хранения данных. После утечки группа прекратила свою деятельность в мае 2022 года, но многие ее члены и аффилированные лица вновь появились под разными брендами, включая Black Basta, BlackByte и Krakurt. Akira - еще одна программа-вымогатель, которая не только имеет схожий с Conti код, но и располагает операторами, смешивающими средства с адресами, связанными с Conti.
Тактики, методы и процедуры (TTP), используемые RaaS-акторами, схожи, и Akira ничем не отличается. Типичная кампания начинается с того, что филиалы Akira используют скомпрометированные учетные данные или уязвимости для получения первоначального доступа к среде жертвы. Затем они проводят разведку, собирают данные из Active Directory и сканируют сеть, чтобы выявить машины для бокового перемещения. Агенты Akira используют различные инструменты и методы для поддержания постоянства, включая запланированные задачи, вновь созданные учетные записи и скомпрометированные активные учетные записи.
Кроме того, филиалы Akira используют различные методы обхода защитных систем, такие как отключение Windows Defender и изменение ключей реестра. Для утечки данных они используют такие инструменты, как WinSCP и FileZilla, а перед шифрованием данных уничтожают резервные копии системы. Для шифрования файлов Akira использует алгоритм шифрования ChaCha, а в записке о выкупе содержится код, с помощью которого жертва может получить доступ к чат-мессенджеру Akira. Qualys предлагает решения EDR и EPP для комплексной защиты от современных угроз, в том числе от вымогательского ПО Akira. Существующие клиенты могут использовать QQL Threat Hunting для поиска ТТП Akira в своей среде.
Indicators of Compromise
MD5
- 08bd63480cd313d2e219448ac28f72cd
- 4aecef9ddc8d07b82a6902b27f051f34
- a1f4931992bf05e9bff4b173c15cab15
- ab9e577334aeb060ac402598098e13b9
- e57340a208ac9d95a1f015a5d6d98b94
- e8139b0bc60a930586cf3af6fa5ea573