Новые исследования показывают, что операторы Akira и Lynx используют уязвимости VPN, украденные учетные данные и методы двойного шантажа для атак на управляемых сервис-провайдеров (MSP) и малый бизнес.
Описание
Группы киберпреступников Akira и Lynx, активно действующие в первом квартале 2025 года, продолжают совершенствовать свои методы атак. Согласно отчету исследовательского подразделения Acronis Threat Research Unit (TRU), эти группировки используют схожие тактики, включая модель Ransomware-as-a-Service (RaaS) и стратегию двойного шантажа. Их основными целями становятся управляемые сервис-провайдеры (MSP) и малый бизнес, поскольку компрометация MSP открывает доступ к сетям множества клиентов.
Общие черты и различия Akira и Lynx
Обе группировки действуют по схожему сценарию: проникают в системы через украденные учетные данные, уязвимости VPN, проводят разведку, эскалацию привилегий, обход защиты и в конечном итоге шифруют данные. Однако Lynx, вероятно, использует утекший исходный код LockBit, тогда как Akira демонстрирует сходство с Conti - группировкой, связанной с российской киберпреступной группировкой Wizard Spider.
Интересный факт: как выяснили исследователи, Lynx способен автоматически печатать записку с требованиями выкупа на подключенных к зараженной системе принтерах.
Akira: возрождение угрозы
Akira впервые появилась в 2022 году, но резко нарастила активность в 2023 году, заняв место в топ-10 самых активных ransomware-групп. В 2024 году она атаковала уже 315 жертв, включая MSP-компании, такие как Hitachi Vantara и Toppan Next Tech.
Технические особенности
Изначально Akira использовала фишинговые атаки и эксплойты уязвимостей, например, CVE-2023-20269 в решениях Cisco. В 2024 году операторы перешли на атаки через VPN, в частности эксплуатируя уязвимость SonicWall Firewall CVE-2024-40766. В 2025 году TRU зафиксировал случаи использования украденных учетных данных администраторов.
После проникновения в систему злоумышленники отключают антивирусное ПО, проводят сбор данных, перемещаются внутри сети и запускают шифрование. Перед этим данные архивируются и выгружаются на серверы злоумышленников - часть стратегии двойного шантажа.
Анализ образца Akira показал, что он написан на C/C++ и использует библиотеки WMI и COM для управления привилегиями. Для шифрования файлов применяется алгоритм ChaCha20, а ключи дополнительно защищаются RSA. Группировка избегает шифрования критически важных системных файлов, таких как .dll и .exe, чтобы не нарушить работоспособность системы.
Lynx: массовые атаки на малый бизнес
Lynx действует менее избирательно, но также представляет серьезную угрозу. Группировка атаковала около 145 жертв, включая телекомпанию в Чаттануге (Теннесси). Как и Akira, Lynx отключает средства защиты, удаляет теневые копии и очищает логи для усложнения восстановления данных.
Подозрения на использование кода LockBit
Исследователи отмечают, что Lynx, вероятно, использует утекшие исходники LockBit, что объясняет схожесть методов атак. Это делает группировку особенно опасной для компаний, не обновляющих свои системы защиты.
Выводы
Обе группировки остаются активными в 2025 году, и их методы продолжают эволюционировать. MSP-провайдеры и малый бизнес входят в группу риска из-за потенциально высокой доходности таких атак. Akira дает жертвам короткие сроки на выплату выкупа - в одном из случаев данные попали в открытый доступ уже через пять дней после взлома.
Индикаторы компрометации
URLs
- https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
- https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
SHA256
- 88da2b1cee373d5f11949c1ade22af0badf16591a871978a9e02f70480e547b2
