Аналитики компании Huntress отслеживают атаки вымогателей Akira и выявляют ключевые индикаторы, которые часто предшествуют развертыванию вымогательского ПО.
Akira Ransomware
Во многих случаях злоумышленники создают новые учетные записи пользователей или используют существующие для перемещения в инфраструктуре, часто через открытые серверы MSSQL или протокол удаленного рабочего стола (RDP). Некоторые атаки предполагают включение RDP с помощью специальных команд реестра, в то время как другие скрывают вновь созданные учетные записи на экране приветствия Windows.
В частности, аналитики Huntress заметили постоянное использование имени рабочей станции «WIN-JGRMF8L11HO» в нескольких успешных или попыточных входах в систему, связанных с инцидентами с вымогательством Akira. Кроме того, было обнаружено, что злоумышленники устанавливают туннели Cloudflared на скомпрометированных конечных устройствах. После того как программа-шифровальщик готова, она развертывается с помощью специальных командных строк, причем в зависимости от типа атаки путь может быть различным. Делясь этими индикаторами ранних стадий, компания Huntress стремится помочь организациям обнаружить и смягчить последствия атак до развертывания вымогательского ПО.
Indicators of Compromise
SHA256
- 3b7fc61649badd73986a86d39124b69aa2c7b6ecdb1d448137080579dc4990f2
