Главная страница » Индикаторы компрометации
0
7 дней
Индикаторы компрометации

Группа Akira: Двухлетняя эволюция атак на бизнес Великобритании через уязвимости VPN

ransomware

Группа Akira, занимающаяся распространением программ-вымогателей (ransomware), продолжает наносить значительный ущерб предприятиям Великобритании, начиная с 2023 года. Специалисты компании ZenSec (ранее Solace Cyber) на основе анализа более 30 инцидентов, связанных с цифровой криминалистикой и реагированием на инциденты (DFIR), составили подробную картину методов работы злоумышленников. Атаки затронули ключевые секторы экономики: розничную торговлю, финансы, производство и медицинские учреждения.

Описание

Группа Akira демонстрирует явные связи с печально известным киберпреступным синдикатом Conti, включая сходство кода вредоносной нагрузки (payload) и использование шаблонных, руководствуемых «плейбуком» атак. Их модель основана на двойном вымогательстве: сначала данные похищаются, а затем шифруются, после чего следует требование выкупа за их возврат и неразглашение. Основным вектором начального доступа остается эксплуатация уязвимостей в SSL VPN-решениях, таких как Cisco ASA, SonicWall и WatchGuard, часто из-за отсутствия многофакторной аутентификации (MFA) или неустановленных обновлений безопасности.

Эволюция начального доступа прослеживается четко. В период с 2023 до конца 2024 года главным методом проникновения было использование уязвимостей в межсетевых экранах Cisco ASA, в частности CVE-2023-20269 (уязвимость к удаленному перебору паролей) и CVE-2020-3259 (уязвимость раскрытия памяти, позволяющая получить учетные данные). С конца 2024 года по настоящее время Akira переключилась на атаки на SSL VPN SonicWall, активно используя CVE-2024-40766 и атаки на основе паролей. В 2025 году были зафиксированы первые случаи проникновения через VPN-устройства WatchGuard, что указывает на расширение целей группы.

После получения доступа злоумышленники приступают к разведке внутренней сети. Наиболее часто используются утилиты Netscan (более 31% случаев) и Advanced Port Scanner (25%). Для сбора информации об Active Directory применяются PowerShell-скрипты, создающие файлы с данными о пользователях, компьютерах и группах. В менее чем 6% инцидентов отмечалось использование продвинутых инструментов, таких как Powerview, Sharpshares, Grixba, Pingcastle и Sharphound, а также RvTools для анализа виртуальных машин.

Если полученных через VPN учетных данных недостаточно для повышения привилегий, Akira эксплуатирует уязвимости в продуктах Veeam, в частности CVE-2023-27532 и CVE-2024-40711. Это позволяет создавать локальные учетные записи на серверах Veeam и с помощью скриптов, например, "Veeam-Get-Creds.ps1", извлекать учетные данные в чистом тексте из SQL-базы данных. Эти данные часто включают права доступа доменного администратора, что открывает широкие возможности для продвижения по сети. Альтернативным методом являются атаки перебором паролей (password spraying). Реже применяются сложные техники, такие как кража базы данных NTDS.dit для офлайн-взлома хэшей или атаки Kerberoasting.

Для обеспечения постоянного доступа (Command and Control, C2) группа чаще всего использует инструмент удаленного управления (RMM) AnyDesk (43% случаев). На втором месте по популярности находится OpenSSH (18,75%). В единичных случаях наблюдалось использование Chrome Remote Desktop, обратных оболочек на ESXi, утилиты для туннелирования Ligolo-ng и фреймворка Cobalt Strike.

Перемещение по сети (Lateral Movement) в основном осуществляется через протокол удаленного рабочего стола (RDP). Для доступа к системам ESXi и NAS используется SSH. В некоторых случаях злоумышленники развертывали собственную виртуальную машину внутри сети жертвы для обхода систем защиты. Реже применялись инструменты NetExec, PsExec, Impacket AtExec.py и MobaXterm.

Уклонение от систем защиты (Defence Evasion) часто сводится к ручному отключению антивирусов и EDR-решений, что в большом количестве случаев успешно осуществляется через стандартную панель управления. В 48,57% инцидентов отключался Защитник Windows (Windows Defender). Более изощренные методы, такие как добавление исключений или шифрование изнутри специально созданной виртуальной машины, встречаются реже.

Перед exfiltration (вывозом данных) информация часто архивируется с помощью WinRAR (более 62,5%) или 7-Zip (18,75%). Сам вывоз данных осуществляется быстро, и самый короткий зафиксированный случай занял менее трех часов. Основными инструментами являются WinSCP (31,25%), FileZilla (18,75%) и Rclone (18,75%).

Фаза шифрования (Impact) наблюдается в 100% инцидентов. Akira целенаправленно атакует системы резервного копирования, выполняя сброс настроек или форматирование дисков. Шифрование может затрагивать виртуальные диски (VMDK, VHDX) на уровне гипервизора (VMware ESXi, Hyper-V), операционные системы физических серверов и рабочих станций или данные внутри виртуальных машин. Полезная нагрузка часто имеетgeneric-имена, такие как "w.exe", "akira.exe", "locker.exe". После шифрования файлы получают расширение ".akira", а в каждой папке остается файл "akira_readme.txt" с требованиями.

Примерно в 18,75% случаев после атаки Akira рассылает письма с требованиями выкупа на корпоративные почтовые ящики, используя для этого учетные записи Gmail. Похищенные данные публикуются на сайте утечек (Data Leak Site, DLS) в сети Tor, часто в виде magnet-ссылок на торренты, что затрудняет их удаление.

В качестве рекомендаций для организаций эксперты ZenSec советуют обеспечить регулярное обновление VPN-устройств, обязательное использование MFA для всех учетных записей, реализацию строгой политики блокировки после нескольких неудачных попыток входа, сегментацию сети, наличие изолированных (immutable) резервных копий и развертывание EDR-систем по всему парку оборудования для мониторинга подозрительной активности. Соблюдение этих мер значительно повысит устойчивость к атакам подобных группировок.

Индикаторы компрометации

SHA256

  • 1a70f4eef11fbecb721b9bab1c9ff43a8c4cd7b2cafef08c033c77070c6fe069
  • 26d5748ffe6bd95e3fee6ce184d388a1a681006dc23a0f08d53c083c593c193b
  • 31f7ba37180f820313b2d32e76252344598409cb932109dd84a071cd58b64aa6
  • 4a9dde3979c2343c024c6eeeddff7639be301826dd637c006074e04a1e4e9fe7
  • 54e3b5a2521a84741dc15810e6fed9d739eb8083cb1fe097cb98b345af24e939
  • 73f55188dbd15056b9728cb646f4e9774534b148dec3eed9ccbbaa381b95ce78
  • 8317ff6416af8ab6eb35df3529689671a700fdb61a5e6436f4d6ea8ee002d694
  • 8b9c7d2554fe315199fae656448dc193accbec162d4afff3f204ce2346507a8a
  • 9667c3a224a4ccbf6975b292a2fdeb3025babae035f58e468b9c9c800188969b
  • a1a6005cc3eb66063ae33f769fc2d335487b2ed7f92c161e49ad013ffed11ec8
  • bc3088927f42f08fd5b8a22f43ba3683c310d59a0b0fe7022468d21275bc050a
  • bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4
  • d0c1662ce239e4d288048c0e3324ec52962f6ddda77da0cb7af9c1d9c2f1e2eb
  • e1fefa948907a18fb0bc7717da9d4272e93bf9707413e9689ab8f053af4c7924
  • fc5f82f45745385d8c0dc82caf2ad5695b1addfbf556d1e72d792835876574ce
  • fdd00e1bf19fe207b1ca7dbee50816ff85e53eaad9deb5e5b8fef92210fb6bc0
Комментарии: 0
Похожие записи
0
05.08.2025
Индикаторы компрометации

Аналитики обнаружили рост активности группировок Akira и Lynx, нацеленных на MSP-провайдеров

ransomware
Новые исследования показывают, что операторы Akira и Lynx используют уязвимости VPN, украденные учетные данные и методы двойного шантажа для атак на управляемых сервис-провайдеров (MSP) и малый бизнес.
1
11.08.2025
Индикаторы компрометации

Группировки Akira и Lynx усиливают атаки на MSP-провайдеров

ransomware
Исследователи Acronis Threat Research Unit (TRU) выявили новые тактические изменения в работе вымогательских группировок Akira и Lynx, которые активно атакуют поставщиков управляемых IT-услуг (MSP).
0
07.10.2023
Индикаторы компрометации

Akira Ransomware IOCs - Part 3

ransomware
Akira быстро становится одним из самых быстрорастущих семейств вымогательского ПО благодаря использованию тактики двойного вымогательства, модели распространения ransomware-as-a-service (RaaS) и уникальным вариантам оплаты.