Akira Ransomware, çalıntı kimlik bilgilerini ve genel araçları kullanarak yeni siber saldırılar başlattı

Akira fidye yazılımı grubu, 350’den fazla kuruluşu hedefleyen ve 2024’ün başında fidye gelirlerinde yaklaşık 42 milyon USD talep ederek faaliyetlerini yoğunlaştırdı.

Bu sofistike siber suçlu varlık, verilerin bir fidye ödenmedikçe bilgileri sızdırma tehdidiyle, verilerin şifrelendiği ve aynı anda çalındığı “çift gasp” olarak bilinen bir strateji kullanıyor.

Sömürü teknikleri ve başlangıç ​​erişim

Akira’nın Modus Operandi, genellikle VPN’ler gibi tek faktörlü kimlik doğrulama mekanizmalarını atlayarak ağlara ilk erişim elde etmek için tehlikeye atılan kimlik bilgilerinin kullanılmasını içerir.

– Reklamcılık –

Grup, Kuzey Amerika, Avrupa ve Avustralya’da eğitim, finans, üretim ve sağlık hizmetleri gibi sektörlere odaklanarak orta ölçekli işletmeleri hedeflemeye özel bir ilgi göstermiştir.

İlk erişim taktikleri, özellikle CVVE-20120-3259 ve CVE-2023-20269 gibi CVES tarafından tanımlanan Cisco Adaptive Güvenlik Cihazı (ASA) yazılımı ve ateş gücü tehdidi savunması (FTD) yazılımında bilinen çeşitli güvenlik açıklarını içerir.

Akira fidye yazılımı, dosyaları .PowerRanges uzantısıyla şifreleyen “Megazord” adlı pas tabanlı uygulamaları dahil etmek için ilk C ++ tabanlı kodundan gelişti.

Dark Atlas Raporu’na göre, paslanmaya yapılan bu kayma, şifreleme süreçlerinin hızını ve sağlamlığını artırma girişimini ifade ederek kurbanların kurtarma çabalarını daha zor hale getiriyor.

Grubun en son varyantı AKIRA_V2, daha hızlı şifreleme için ek iş parçacıkları ekleme, dosya türü ve boyutuna dayalı özel şifreleme yöntemleri ve dinamik analizleri engellemek için benzersiz yapı kimliklerinin kullanımı gibi gelişmiş özellikler içerir.

Veri Sunum Taktikleri

Bir ağın içine girdikten sonra, Akira keşif ve veri açığa çıkması için halka açık bir araç kullanır.

Ağ keşfi için gelişmiş IP tarayıcı, softperfect ağ tarayıcı ve nlTest gibi araçlar, AnyDesk, Putty ve RCLone gibi meşru yazılımlar, kontrol ettikleri bulut hizmetlerine veya FTP sunucularına uzaktan erişim ve veri aktarımını kolaylaştırır.

Bu pesfiltrasyon aşaması, fidye karşılanmazsa karanlık ağdaki çalıntı verileri sızdırmakla tehdit ettikleri çift gasp stratejilerinde çok önemlidir.

Yeni etki alanı hesapları oluşturarak kalıcılık oluşturduktan sonra Akira, aynı saldırı içinde farklı sistem mimarilerini hedefleyen fidye yazılımı yüklerini dağıtır.

Şifreleme işlemleri, hem tam hem de kısmi şifreleme yeteneğine sahip olan güvenli anahtar değişimi için hız için Chacha20’yi RSA ile birleştiren hibrit bir şemayı içerir.

Dahası, Akira, Sistem Kurtarma çabalarını engelleyerek Volume Shadow kopyalarını silmek için PowerShell komutlarını kullanır.

13-14 Kasım tarihleri ​​arasında Akira, operasyonların başladığından bu yana en yüksek tek günlük etkinliklerini işaretleyerek veri sızıntısı sitelerinde 30’dan fazla yeni kurban yayınladı.

Bu yükselme, hem ekonomi hem de güvenlik için kritik sektörler üzerinde dikkate değer bir etkisi olan operasyonlarının agresif bir genişlemesini göstermektedir.

Grubun faaliyetleri, Gold Sahara ve Punk Örümcek gibi siber suç gruplarıyla ilişkilendirilmiştir, bu da geniş ve muhtemelen genişleyen bir bağlı kuruluş veya operatör ağını gösterir.

Akira’nın sürekli uyarlaması, VPN erişimi için çok faktörlü kimlik doğrulama ve kritik verilerin düzenli yedeklemeleri de dahil olmak üzere sağlam siber güvenlik önlemlerine yönelik kritik ihtiyacın altını çizmektedir.

Kuruluşlar, Akira gibi gruplardan artan tehdidi azaltmak için savunma stratejilerinde uyanık ve proaktif kalmalıdır.

Uzlaşma Göstergeleri (IOC):

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!