Исследователи кибербезопасности из BlackBerry обнаружили целенаправленную атаку на одну из латиноамериканских авиакомпаний со стороны группы разработчиков вымогательского ПО Akira. Злоумышленники использовали SSH для первоначального доступа и применяли легитимные инструменты и LOLBAS (Living Off the Land Binaries and Scripts) для поддержания устойчивости и утечки данных перед развертыванием программы-вымогателя.
Атака началась с эксплуатации непропатченного сервера резервного копирования Veeam через CVE-2023-27532. Получив доступ через SSH и создав пользователя admin, злоумышленники провели разведку с помощью Advanced IP Scanner и извлекли данные через WinSCP. Антивирусная защита была отключена, а сеть была заражена программой Akira ransomware, которая удаляла теневые копии, препятствуя восстановлению. Злоумышленники использовали такие инструменты, как smbexec из Impacket, NetScan и AnyDesk, что говорит об изощренном подходе, направленном на максимальное увеличение ущерба и требований выкупа.
Indicators of Compromise
IPv4
- 77.247.126.158
