Akira ve Lynx Fidye Yazılımı Saldıran Yönetilen Servis Sağlayıcılara Çalınan Giriş Kimlik Bilgileri ve Güvenlik Açıkları


Akira ve Lynx Fidye Yazılımı Saldıran Yönetilen Servis Sağlayıcılara Çalınan Giriş Kimlik Bilgileri ve Güvenlik Açıkları

İki sofistike fidye yazılımı operasyonu, yönetilen hizmet sağlayıcılara (MSP’ler) ve küçük işletmelere karşı önemli tehditler olarak ortaya çıkmıştır, Akira ve Lynx grupları, çalınan kimlik bilgilerini güvenlik açığı sömürüsü ile birleştiren gelişmiş saldırı tekniklerini kullanmıştır.

Bu fidye yazılımı hizmet olarak (RAAS) operasyonlar, 365’den fazla kuruluşu toplu olarak tehlikeye attı ve birden fazla müşteriye hizmet veren yüksek değerli altyapı sağlayıcıları hedeflemedeki etkinliklerini gösterdi.

Akira fidye yazılımı grubu, 2022’de ortaya çıkmasından bu yana dikkat çekici bir kalıcılık gösterdi ve 2023 yılına kadar en iyi 10 fidye yazılımı operasyonundan birine nispeten bilinmeyen bir tehditten gelişti.

Google Haberleri

Akira Fidye Yazılımı Saldırı Akışı (Kaynak – Acronis)

220’den fazla onaylanmış kurbanla Akira, hukuk firmalarını, muhasebe firmalarını, inşaat şirketlerini ve Hitachi Vantara ve Toppan Next Tech gibi yönetilen hizmet sağlayıcılarını sistematik olarak hedefledi.

Grubun MSP’lere odaklanması, bu sağlayıcıların tehlikeye girmesi kapsamlı müşteri ağlarına erişim sağladığı ve potansiyel fidye ödemelerini güçlendirdiğinden, etkiyi en üst düzeye çıkarmaya yönelik stratejik bir değişimi temsil eder.

Bu arada, Lynx fidye yazılımı operasyonu, öncelikle özel işletmelere odaklanan yüksek hacimli bir saldırı stratejisi aracılığıyla yaklaşık 145 kurbanı vurdu.

Lynx Fidye Yazılımı Saldırı Akışı (Kaynak – Acronis)

Acronis araştırmacıları, Lynx’in muhtemelen sızdırılan Lockbit kaynak kodundan öğeler eklediğini ve fidye yazılımı ekosistemindeki karmaşık bir kod paylaşımı ve evrim ağı önererek INC fidye yazılımı ailesiyle benzerlikleri paylaştığını belirlediler.

Dikkate değer kurbanlar, Tennessee, Chattanooga’daki bir CBS bağlı kuruluş televizyon istasyonu içerir ve grubun kritik altyapı ve medya kuruluşlarını hedefleme isteğini vurgular.

Her iki fidye yazılımı ailesi, kurbanları basılı fidye ödemek için veri hırsızlığı ile dosya şifrelemesini birleştirerek sofistike çift gasp taktikleri kullanıyor.

Gruplar, 2022’de önemli bir veri sızıntısının ardından çözülmesinden önce Rus Sihirbazı Örümcek Tehdit Grubuna bağlı olan kötü şöhretli Conti fidye yazılımıyla teknik benzerlikleri paylaşıyor.

Bu bağlantı, eski Conti operatörlerinin bu yeni operasyonlara olası kod yeniden kullanılmasını veya işe alınmasını önermektedir.

Gelişmiş enfeksiyon ve kaçırma mekanizmaları

2025 saldırı kampanyaları, her iki grubun teknik yeteneklerinde ve operasyonel prosedürlerinde önemli bir evrim ortaya koyuyor.

Akira operatörleri, birincil saldırı vektörlerini geleneksel kimlik avı ve güvenlik açığı sömürüsünden çalınan veya satın alınan idari kimlik bilgilerini kullanmaya kaydırdılar.

Başarılı kimlik bilgisi tabanlı erişim sağlandığında, saldırganlar kalıcılık oluşturmak için güvenlik yazılımını derhal devre dışı bırakır.

Bununla birlikte, kimlik bilgisi tabanlı erişim başarısız olduğunda, grup, uzaktan veri açığa çıkmasını ve ardından genellikle güvenlik izlemesinden kaçınan meşru, beyaz listeli araçlar kullanılarak şifrelemeyi içeren sofistike bir geri dönüş stratejisi kullanır.

Teknik analiz, Akira’nın C/C ++ ile yazılmış ve Visual Studio Build araçları kullanılarak derlenmiş PE64 yürütülebilir dosyalarını dağıttığını ortaya koymaktadır.

Kötü amaçlı yazılım, Chacha20 anahtarını RSA ile şifrelenmiş 512 baytlı bir tamponda saklayarak RSA anahtar koruması ile Chacha20 şifrelemesini uygular.

Fidye yazılımı, CPU çekirdek sayısına dayalı birden fazla iş parçacığı oluşturur ve şifreleme iş parçacıkları doğrudan mevcut işlemcilerle ilişkilidir.

Örneğin, altı mantıksal işlemciye sahip sistemler, özellikle şifreleme işlemlerini dosyalamak için dört iş parçacığı ayırırken iki klasör ayrıştırıcı iş parçacığı oluşturur.

Lynx, operasyonel esneklik için kapsamlı komuta hattı argümanlarını destekleyen PE32 C/C ++ yürütülebilir dosyası aracılığıyla eşit derecede sofistike teknik uygulama gösterir.

Kötü amaçlı yazılım, aşağıdakiler: --encrypt-network ağ paylaşımlarını hedeflemek için, --kill süreç ve hizmet fesih için ve özellikle --no-print Bağlı yazıcılarda fidye notu baskısını önlemek için.

Şifreleme işlemi, AES’i ECC Public Anahtar Oluşturma ile kullanır ve Base64 kodlu bir genel anahtar uygular: 8SPEMzUSI5vf/cJjobbBepBaX7XT6QT1J8MnZ+IEG3g=.

Her iki fidye yazılımı ailesi, belgelenmemiş Windows API’leri aracılığıyla gölge kopya silme ve yedekleme yazılımını, veritabanlarını ve güvenlik uygulamalarını hedefleyen stratejik süreç fesih de dahil olmak üzere kapsamlı savunma kaçırma teknikleri uygular.

Kötü amaçlı yazılım, çalışan uygulamalardan veya yedekleme işlemlerinden etkileşim olmadan başarılı dosya şifrelemesini sağlamak için SQL, VeeAM, yedekleme sistemleri ve değişim sunucuları ile ilgili süreçleri özel olarak sonlandırır.

SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın



Source link