Akira - это относительно новый вариант вымогательского ПО, впервые обнаруженный в апреле этого года и написанный на C++, который может работать в средах Windows и Linux. Несмотря на то, что вредоносная программа появилась сравнительно недавно, злоумышленники, стоящие за Akira, весьма заняты - на их счету более 60 подтвержденных зараженных организаций по всему миру. В качестве целей они выбирают крупные организации в различных отраслях, таких как розничная торговля, потребительские товары, образование и другие.
Во многом Akira не отличается от других семейств ransomware: теневые копии удаляются (с помощью комбинации PowerShell и WMI); логические диски шифруются, а определенные типы файлов и каталоги пропускаются; существует сайт утечки/коммуникации на TOR и так далее.
Отличительной чертой программы является некоторое сходство с Conti. Например, список папок, исключенных из процесса шифрования, точно такой же. В том числе папка "winnt", которая присутствует только в Windows 2000. Еще одно сходство - используемая функция обфускации строк.
Одна вещь, которая отличает одну группу от другой, - это панель C2. В ходе расследований Kaspersky Lab и совместной работы с правоохранительными органами (LEA) по всему миру Kaspersky столкнулись с множеством различных типов C2-панелей. Однако коммуникационный сайт Акиры отличается от них. Группа использовала библиотеку JQuery Terminal для создания минималистичного сайта в старом стиле. Чтобы защитить его, они применили определенные меры безопасности. Например, если открыть сайт при использовании отладчика в браузере, то возникнет исключение, останавливающее анализ.
Indicators of Compromise
MD5
- 00141f86063092192baf046fd998a2d1
- 0885b3153e61caa56117770247be0444
- 2cda932f5a9dafb0a328d0f9788bd89c
