Acronis Tehdit Araştırma Birimi (TRU), Akira ve Lynx fidye yazılımı ailelerinden son örnekleri parçaladı ve fidye yazılımı (RAAS) modellerinde ve çift genişlemeli stratejilerindeki artımlı geliştirmeleri ortaya koydu.
Her iki grup da çalınan kimlik bilgilerini, VPN güvenlik açıklarından, keşif, ayrıcalık artışı, savunma kaçakçılığı ve sistemlere sızmak için veri açığa çıkmasını ve öncelikle geri dönüştürülmüş henüz sofistike tekniklerle hedefleyen sistemlerden yararlanmaktadır.
2022’de ortaya çıkan ve 174 saldırı ile 2023 yılına kadar ilk 10 fidye yazılımı operatörüne yükselen Akira, 2025 yılında 315 kurbanla momentumunu sürdürdü ve 2025’te devam etti.
Kod tabanı, sızdırılmış Conti kaynak koduna çarpıcı benzerlikler sergiliyor ve potansiyel olarak eski Sihirbaz Örümcek Bağlı Kuruluşları tarafından yeniden markalaşmayı veya uyarlamayı gösteriyor.
2014 ortasında görünen Lynx, 2023’te TRU tarafından analiz edilen Inc fidye yazılımının öğelerini yansıtıyor ve şüpheli kilitbit kodu etkilerini içeriyor ve yeraltı forumu alımları aracılığıyla ortak bir miras öneriyor.
Bu aktörler güvenlik yazılımını devre dışı bırakır, WMI ve PowerShell komutları aracılığıyla gölge kopyalarını temizler ve tespitten kaçınmak ve kurtarmayı karmaşıklaştırmak için olay günlüklerini temizler.
Lynx örneklerinde dikkate değer bir tuhaflık, fidye notlarını doğrudan bağlı yazıcılara yazdırma ve gasp taktiklerine fiziksel bir boyut ekleme yetenekleridir.
Conti kökleri ile gelişen tehdit
Akira’nın teslimat yöntemleri gelişti: başlangıçta Cisco CVE-2023-20269 gibi kimlik avı ve istismarlarına dayanarak, 2024’te VPN’leri Sonicwall güvenlik duvarı CVE-2024-40766 gibi kusurlar aracılığıyla hedeflemeye kaydırdı ve güvenlik dipli baypasları sağladı.
2025 yılına gelindiğinde, operatörler başlangıç erişim için çalıntı veya satın alınan yönetici kimlik bilgilerini tercih eder, ardından savunmaları devre dışı bırakır ve uzaktan eksfiltrasyon ve şifreleme için beyaz liste araçları kullanır.
C/C ++ ‘da Visual Studio Tools ile derlenen ve ilk olarak 2024’ün sonlarında görülen analiz edilen 64 bit PE dosyası, Winmain’den başlar, zaman damgaları ve saldırıları özelleştirmek için –encyption-path, –Share-file ve –Enryption gibi komut satırı argümanları.
Yerel işlemleri wtSenumateProcesses yoluyla numaralandırır, PowerShell komut dosyalarını, kimlik doğrulaması için CosetProxyBlankket kullanarak gölge kopyalarını silmek için şifresini çözer ve ayrıcalık kontrolü için fastprox.dll ve wbemprox.dll’den COM/WMI arabirimlerini kullanır.
Şifreleme iş parçacıkları CPU çekirdekleri ile ölçeklenir, -localonly ayarlanmışsa ve $ recycle.bin gibi klasörleri veya .dll ve .exe gibi uzantıları hariç tutar.
Dosyalar Chacha20 ile şifrelenir, belirtilirse kısmi, RSA ile şifreli tuşlar eklenir; Engellenen dosyalar, kötü amaçlı yazılım PID hariç, müdahale işlemlerini sonlandırmak için yöneticiyi yeniden başlatın.
Özel sektörlere yüksek hacimli saldırılar
Yaklaşık 145 kurbanla Lynx, Chattanooga CBS bağlı kuruluşuna bildirilen bir hit de dahil olmak üzere özel işletmelere odaklanan yüksek hacimli bir strateji benimser.
Windows/Linux inşaatçıları, veri depolama ve sızıntı sitesi erişimi vaatleriyle Rus forumları aracılığıyla iştirakleri işe alan RAAS olarak çalışır.
Teslim genellikle kimlik avı ile başlar, kimlik hırsızlığı, yanal hareket ve güvenlik açığı sömürüsüne yükselir. 2025 yılında, verileri eksfiltrasyon yapmadan ve şifrelemi dağıtmadan önce algılanan güvenlik yazılımını kaldırır.
Rapora göre, 32 bit PE örneği, ayrıntılı çıkış için –Dir, –kill ve -verbose gibi argümanları, SETVOLUMEMOUNTPOINTW ile gizli sürücüleri monte etmek ve SNAPSHOTS veya REST-başlat yöneticisi aracılığıyla süreçleri/hizmetleri (örn., SQL, Veeam) sonlandırma gibi argümanları destekler.
IOCTL_MAX_DIFF_Area_Size ile CihaziOcontrol kullanarak silinmeyi zorlamak için Gölge Kopyalarını yeniden canlandırır, daha sonra dosya yinelemesi için iplikleri (CPU sayısını dört kat), sıfır boyutlu dosyaları veya hariç ve hariç tutulan adları atlar.
Şifreleme, anahtar üretimi için Curve25519-Donna ile AES-CTR-128’i kullanır, SHA512 üzerinden karma ve XOR tabanlı akışlar; .LYNX uzantıları ekler, sert kodlanmış kurban kimlikleriyle baz64 kodlu fidye notları yazar ve hatta masaüstü duvar kağıtları ayarlarken Winspool API’leri aracılığıyla yazıcılara gönderir.
Her iki aile de MSP’leri, Akira’nın Hitachi Vantara ve Toppan’a yönelik saldırılarıyla, müşteri ağlarına erişimleri nedeniyle gasp potansiyelini artırarak kazançlı hedefler olarak vurgulamaktadır.
Akira’nın fidye son tarihleri, beş gün içinde gözlemlenen veri sızıntıları ile değişirken, Lynx, şifrelemenin yanında gizlenmeyi vurgulamaktadır. Acronis gibi gelişmiş güvenlik ile tespit, sağlam kimlik bilgisi yönetimi ve güvenlik açığı yaması ihtiyacını vurgular.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge Türü | Değer |
|---|---|---|
| Akira dosyaları | SHA256 | 88da2b1cee373d5f11949c1ade2af0badf16591a871978a9e02f70480e547b2 |
| Akira Ağı | Url | https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z636bad.onion https://akiralkzxq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion |
| Lynx dosyaları | SHA256 | 571f5de9dd0d50ed7e5242b9b7473c2b2cb36ba64d3b3212a0a0a337d6cf8b |
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir