Perşembe günü FBI ile Siber Güvenlik ve Altyapı Güvenlik Ajansı, Akira fidye yazılımının uç cihazlardaki ve yedekleme sunucularındaki güvenlik açıklarından yararlanarak kritik sektörlere karşı aktif olarak saldırılar başlattığı konusunda uyardı.
Akira fidye yazılımının, Temmuz ayından itibaren SonicWall güvenlik duvarı müşterilerini hedef alan saldırılarda görülen artış da dahil olmak üzere, son aylarda bir dizi tehdit faaliyetiyle ilişkilendirildiği görüldü. ABD’li yetkililer, Akira’nın bu aya kadar geniş bir saldırı yelpazesini genişlettiği ve bilgisayar korsanlarının diğer tehdit gruplarıyla işbirliği yaptığı konusunda uyardı.
CISA Siber Güvenlik Bölümü yönetici yardımcısı Nick Andersen, Perşembe günkü konferans görüşmesinde gazetecilere verdiği demeçte, “Bu grup öncelikle küçük, orta ölçekli işletmelere saldırıyor, ancak aynı zamanda çeşitli sektörlerdeki daha büyük kuruluşlara da saldırıyor” dedi.
Hedefler arasında imalat, eğitim, sağlık, bilişim, finans, gıda ve tarım şirketleri de yer alıyor.
FBI Siber Bölümü müdür yardımcısı Brett Leatherman, Eylül ayı itibarıyla grubun bu saldırılardan 244 milyon dolardan fazla gelir elde ettiğini söyledi.
FBI ve CISA’nın güncellenmiş bir tavsiye belgesine göre grup, kimlik bilgilerini çalarak veya CVE-2024-40766 gibi güvenlik açıklarından yararlanarak SonicWall ürünleri de dahil olmak üzere VPN’leri hedef aldı.
Bu yılın başlarında grup, çok faktörlü kimlik doğrulaması olmayan bir VPN aracılığıyla erişim elde etti. Grup, CVE-2020-3259 ve CVE-2023-20269 dahil olmak üzere Cisco ürünlerindeki güvenlik açıklarından yararlandı.
Grup, sistem içinde kalıcılığı sürdürmek için AnyDesk veya LogMeIn gibi uzaktan erişim araçlarını kötüye kullandı.
Danışmana göre Akira, verileri şifrelemek ve Tor ağındaki verileri sızdırmakla tehdit etmek için çift gasp yöntemi kullandı.