Akira Ransomware, çalıntı kimlik bilgilerini ve genel araçları kullanarak yeni siber saldırılar başlattı


Akira fidye yazılımı grubu, 350’den fazla kuruluşu hedefleyen ve 2024’ün başında fidye gelirlerinde yaklaşık 42 milyon USD talep ederek faaliyetlerini yoğunlaştırdı.

Bu sofistike siber suçlu varlık, verilerin bir fidye ödenmedikçe bilgileri sızdırma tehdidiyle, verilerin şifrelendiği ve aynı anda çalındığı “çift gasp” olarak bilinen bir strateji kullanıyor.

Sömürü teknikleri ve başlangıç ​​erişim

Akira’nın Modus Operandi, genellikle VPN’ler gibi tek faktörlü kimlik doğrulama mekanizmalarını atlayarak ağlara ilk erişim elde etmek için tehlikeye atılan kimlik bilgilerinin kullanılmasını içerir.

– Reklamcılık –
Google Haberleri

Grup, Kuzey Amerika, Avrupa ve Avustralya’da eğitim, finans, üretim ve sağlık hizmetleri gibi sektörlere odaklanarak orta ölçekli işletmeleri hedeflemeye özel bir ilgi göstermiştir.

İlk erişim taktikleri, özellikle CVVE-20120-3259 ve CVE-2023-20269 gibi CVES tarafından tanımlanan Cisco Adaptive Güvenlik Cihazı (ASA) yazılımı ve ateş gücü tehdidi savunması (FTD) yazılımında bilinen çeşitli güvenlik açıklarını içerir.

Akira fidye yazılımı, dosyaları .PowerRanges uzantısıyla şifreleyen “Megazord” adlı pas tabanlı uygulamaları dahil etmek için ilk C ++ tabanlı kodundan gelişti.

Dark Atlas Raporu’na göre, paslanmaya yapılan bu kayma, şifreleme süreçlerinin hızını ve sağlamlığını artırma girişimini ifade ederek kurbanların kurtarma çabalarını daha zor hale getiriyor.

Grubun en son varyantı AKIRA_V2, daha hızlı şifreleme için ek iş parçacıkları ekleme, dosya türü ve boyutuna dayalı özel şifreleme yöntemleri ve dinamik analizleri engellemek için benzersiz yapı kimliklerinin kullanımı gibi gelişmiş özellikler içerir.

Akira fidye yazılımı
Ransomware Group’u etkiledi 250 kuruluşlar

Veri Sunum Taktikleri

Bir ağın içine girdikten sonra, Akira keşif ve veri açığa çıkması için halka açık bir araç kullanır.

Ağ keşfi için gelişmiş IP tarayıcı, softperfect ağ tarayıcı ve nlTest gibi araçlar, AnyDesk, Putty ve RCLone gibi meşru yazılımlar, kontrol ettikleri bulut hizmetlerine veya FTP sunucularına uzaktan erişim ve veri aktarımını kolaylaştırır.

Bu pesfiltrasyon aşaması, fidye karşılanmazsa karanlık ağdaki çalıntı verileri sızdırmakla tehdit ettikleri çift gasp stratejilerinde çok önemlidir.

Yeni etki alanı hesapları oluşturarak kalıcılık oluşturduktan sonra Akira, aynı saldırı içinde farklı sistem mimarilerini hedefleyen fidye yazılımı yüklerini dağıtır.

Şifreleme işlemleri, hem tam hem de kısmi şifreleme yeteneğine sahip olan güvenli anahtar değişimi için hız için Chacha20’yi RSA ile birleştiren hibrit bir şemayı içerir.

Dahası, Akira, Sistem Kurtarma çabalarını engelleyerek Volume Shadow kopyalarını silmek için PowerShell komutlarını kullanır.

13-14 Kasım tarihleri ​​arasında Akira, operasyonların başladığından bu yana en yüksek tek günlük etkinliklerini işaretleyerek veri sızıntısı sitelerinde 30’dan fazla yeni kurban yayınladı.

Akira fidye yazılımı
Veri sızıntı sitesi

Bu yükselme, hem ekonomi hem de güvenlik için kritik sektörler üzerinde dikkate değer bir etkisi olan operasyonlarının agresif bir genişlemesini göstermektedir.

Grubun faaliyetleri, Gold Sahara ve Punk Örümcek gibi siber suç gruplarıyla ilişkilendirilmiştir, bu da geniş ve muhtemelen genişleyen bir bağlı kuruluş veya operatör ağını gösterir.

Akira’nın sürekli uyarlaması, VPN erişimi için çok faktörlü kimlik doğrulama ve kritik verilerin düzenli yedeklemeleri de dahil olmak üzere sağlam siber güvenlik önlemlerine yönelik kritik ihtiyacın altını çizmektedir.

Kuruluşlar, Akira gibi gruplardan artan tehdidi azaltmak için savunma stratejilerinde uyanık ve proaktif kalmalıdır.

Uzlaşma Göstergeleri (IOC):

Dosya adıSha-256 karmaTanım
w.exeD2fd0654710c27dcf37b6c143780020824e161dd0bf2e3a133ed777242a0caAkira fidye yazılımı
Win.exeDCFA2800754E572ACF94987B03E814EDCB9ASBDA37DF6DA1987BFF48E5B05EAkira Fidye Yazılımı şifrelemesi
Anydesk.exeBC747E3BF7B6E02C09F3D18BDD0E6EEF62B940B2F16C9C72E647EC85CF0138Uzak Masaüstü Uygulaması
Veeamhax.exeAAA6041912A6BA3CF167ECDB90A434A62FEAF08639C5970584706B9F4F495DKimlik bilgisi sızıntı aracı
Akira_v23298D203C2ACB68C474E5FDAD8379181890B4403D6491C523C13730129BE3F75, 0EE1D284ED663
Akira_v2 fidye yazılımı
Megazordffd9f58e5fe850249c67cad0123ceeaa6e9f69b4ec9f9e2151189849eb8fc, dfe6fddc67bdc
Akira “Megazord” fidye yazılımı

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link