İlk olarak Mart 2023’te ortaya çıkan Akira fidye yazılımı grubunun, veri güvenliğine yönelik ciddi bir tehdit olduğu belirlendi. Verileri şifreliyor ve şifrenin çözülmesi için fidye talep ediyor; hem Windows hem de Linux cihazlarını etkiliyor.
Grubun hedefinde 140’a yakın kuruluş bulunuyor. Akira’nın şifreleme ikili programı, diğer birçok fidye yazılımı gibi, birim gölge kopyalarını kaldırır, belirli dosya uzantılarını hedefler ve belirli dizinlerde bulunan dosyaları (sistem dosyalarını içerenler gibi) yok sayar.
Özellikle Amerika Birleşik Devletleri, Büyük Britanya ve Kuzey İrlanda Birleşik Krallığı ve Kanada, çetenin çok sayıda kurban aldığını iddia ettiği ülkeler arasındaydı.
Akira’nın Son Operasyonlarının Özellikleri
CERT Intrinsec’in araştırmasına göre saldırıda üç aşama belirlendi. İlk aşamada Akira üyeleri, çalınan kimlik bilgilerini kullanarak veya CVE-2023-20269 güvenlik açığından (Cisco ASA ve FTD’yi etkileyen) yararlanarak ağa erişebilir.
Bu onların yerel şifrelere gizlice kaba kuvvet saldırıları gerçekleştirmelerine olanak tanır. Yerel ve etki alanı hesapları kurarak veya uzaktan erişim araçlarını kurarak bilgi sistemindeki kalıcılıklarını oluştururlar.
Daha sonra bağlı kuruluşlar, altyapı boyunca yanal olarak seyahat etmek, veri toplamak, Filezilla veya WinSCP kullanarak verileri sızdırmak ve ardından keşfedilmekten kaçınmak için etkinliklerinin tüm izlerini kaldırmak için Uzak Masaüstü Protokolünü kullanır.
İkinci aşama, üyelerin gizli kaldığı birkaç gün sürer. Bilgi sisteminden toplanan teknik verileri analiz ediyor veya sızdırılan verileri inceliyor olabilirler.
Son aşamada saldırganlar, belirlenen sunucularda şifreleme kodlarını çalıştırmadan önce son kalıcılık noktalarını belirlemek, güvenlik önlemlerini kapatmak, yedekleri yok etmeye çalışmak ve birim gölge kopyalarını silmek için yeniden ortaya çıkar.
Akira operasyonları sırasında yürütülen araştırmalar, iştiraklerin, belki de EDR çözümlerinin atlanmasını sağlamak için mümkün olduğunca çok sayıda pratik ve meşru teknik kullanacağını ortaya koyuyor.
Saldırganlar, VEEAM yedeklerini kaldırmak için PowerShell komutlarını ve yönetim konsolu bağlantısını kullanarak Birim Gölge Kopyalarını kaldırmaya çalıştı.
Araştırmacılar, “Sonunda bilgi sistemindeki ekipmanları Akira şifreleme ikili programını kullanarak şifrelediler” dedi.
Öneri:
- Bir yedekleme çözümü yükleyin ve geri yükleme prosedürünü düzenli olarak test edin.
- Bilgi sistemi dışında en az bir yedek versiyon bulundurun.
- Yedekleme altyapısı erişimine dikkat edin.