O Federal Bureau of Investigation (FBI), a Agência de Segurança Cibernética e de Infraestrutura (CISA), o Centro Nacional de Segurança Cibernética da Holanda (NCSC-NL) e o Centro Europeu de Crimes Cibernéticos da Europol (EC3) emitiram um alerta conjunto sobre o ransomware Akira .
O grupo é responsável por ataques contra mais de 250 empresas e entidades de infraestrutura crítica desde março de 2023, principalmente na América do Norte, Europa e Austrália.
A evolução e técnicas de ataque de Akira
Os atores da ameaça Akira acumularam aproximadamente US$ 42 milhões em resgates em 1º de janeiro de 2024. Eles atingiram vários setores, levantando preocupações significativas para organizações em todo o mundo.
Inicialmente escrito em C++, Akira originalmente criptografava arquivos com a extensão .akira. No entanto, surgiram variações. A partir de agosto de 2023, o grupo distribuiu o ransomware Megazord baseado em Rust, anexando uma extensão .powerranges aos seus arquivos criptografados. Alguns ataques agora envolvem a implantação de variantes Megazord e Akira para maior impacto.
Leia mais: Principais golpes de criptomoeda em 2024
Pesquisadores do FBI e de segurança cibernética rastrearam os métodos iniciais de acesso de Akira. Eles geralmente exploram vulnerabilidades conhecidas em serviços Cisco VPN que não possuem autenticação multifator (MFA). Além disso, eles obtêm acesso por meio de protocolos de desktop remoto, spear phishing e credenciais comprometidas.
Uma vez dentro de uma rede, os invasores Akira criam novas contas de domínio para manter a persistência. Eles então aproveitam ferramentas de extração de credenciais, como o Mimikatz, para aumentar os privilégios. O reconhecimento do sistema e a identificação do controlador de domínio são realizados usando ferramentas como SoftPerfect e Advanced IP Scanner, juntamente com comandos nativos do Windows.
Os autores do Akira geralmente desativam o software de segurança antes de passarem lateralmente pelas redes comprometidas. Observou-se que o PowerTool desativa processos antivírus para evitar a detecção.
Para roubar dados confidenciais , os operadores do Akira usam extensivamente ferramentas de exfiltração, como FileZilla, WinSCP e serviços de armazenamento em nuvem. Eles estabelecem canais de comando e controle com AnyDesk, RustDesk e Cloudflare Tunnel.
Fiéis ao modelo de dupla extorsão, os atores de Akira criptografam sistemas após roubar dados. A nota de resgate inclui um código exclusivo e um URL .onion para contatá-los. Eles não especificam um valor inicial de resgate, levando as vítimas a negociar.
Os pagamentos de resgate são pagos em Bitcoin para endereços de carteiras criptografadas fornecidos pelos atores da ameaça.
Além disso, para aplicar mais pressão, os agentes da ameaça Akira estão ameaçando publicar dados roubados na rede Tor e, em alguns casos, denunciaram as empresas vítimas, informou o FBI.
O FBI, CISA, EC3 e NCSC-NL emitiram recomendações abrangentes para o sistema de atores de ameaças Akira e técnicas de detecção de rede. A implementação dessas mitigações pode reduzir significativamente o risco de um ataque bem-sucedido.
“Além de aplicar mitigações, o FBI, CISA, EC3 e NCSC-NL recomendam exercitar, testar e validar o programa de segurança da sua organização contra os comportamentos de ameaça mapeados para a estrutura MITRE ATT&CK for Enterprise neste comunicado”, escreveu a CISA no seu relatório .
Leia mais: As 5 principais falhas de segurança criptográfica e como evitá-las
De acordo com um relatório da Chainalysis de fevereiro de 2024, os ataques de ransomware se intensificaram em 2023 , com US$ 1 bilhão extorquido das vítimas. Isto realça a crescente ameaça cibernética e a necessidade das organizações melhorarem as suas defesas cibernéticas .
O artigo FBI alerta sobre ransomware de Bitcoin vinculado a extorsão de US$ 42 milhões foi visto pela primeira vez em BeInCrypto .