مهاجمان پشت گروه باج افزار Akira (آکیرا) پس از نفوذ به شبکه بیش از 250 قربانی تا یکم ژانویه 2024، حدود 42 میلیون دلار درآمد غیرقانونی اخاذی کردهاند. آژانسهای امنیت سایبری هلند و ایالات متحده و مرکز جرایم سایبری اروپا ([1]EC3) یوروپل، هجدهم آوریل ۲۰۲۴ طی گزارشی اعلام کردند که باج افزار Akira از مارس 2023، طیف گستردهای از کسب و کارها را در بخشهای مختلف صنعتی و نهادهای زیرساخت حیاتی در آمریکای شمالی، اروپا و استرالیا تحت تأثیر قرار داده است.
مهاجمان Akira پس از تمرکز اولیه بر روی سیستمهای ویندوز در آوریل 2023، یک نوع لینوکس را برای هدف قرار دادن ماشینهای مجازی VMware ESXi که به طور گسترده در سازمانها مورد استفاده قرار میگیرند، ایجاد و مستقر کردند. دسترسی اولیه به شبکههای هدف با بهرهبرداری از نقصهای شناخته شده در دستگاههای سیسکو (مانند CVE-2020-3259 و CVE-2023-20269) تسهیل میشود.
بردارهای جایگزین شامل استفاده از پروتکل دسکتاپ از راه دور ([2]RDP)، فیشینگ هدفمند[3]، گواهی های اعتبار و سرویسهای شبکه خصوصی مجازی ([4]VPN) میباشند که فاقد حفاظتهای احراز هویت چند عاملی ([5]MFA) هستند.
هکرهای Akira همچنین به دلیل استفاده از راههای مختلف به منظور برقراری تداوم دسترسی با ایجاد یک حساب دامنه جدید در سیستم تحت نفوذ و همچنین دور زدن مکانیزم شناسایی با سوء استفاده از درایور Zemana AntiMalware برای خاتمه دادن به فرآیندهای مرتبط با آنتیویروس از طریق حمله BYOVD[6]، شناخته میشوند.
مهاجم برای کمک به افزایش سطح دسترسی، به ابزارهایی چون Mimikatz و LaZagne به منظور تغییر در گواهی های اعتبار متکی است، در حالی که Windows RDP برای حرکت جانبی در شبکه قربانی استفاده میشود. استخراج دادهها نیزاز طریق FileZilla، WinRAR، WinSCP و RClone صورت میپذیرد.
Trend Micro در تحلیلی از باج افزار منتشر شده در اکتبر 2023 خاطر نشان کرد که باج افزار Akira سیستم های هدف را با استفاده از یک الگوریتم رمزگذاری ترکیبی که Chacha20 و RSA را ترکیب میکند، رمزگذاری مینماید.
علاوه بر این، باینری باج افزار Akira، مانند اکثر باج افزارهای مدرن، ویژگیای دارد که به آن اجازه میدهد با حذف کپیهای shadow از سیستم آسیب دیده، از بازیابی سیستم جلوگیری به عمل آورد.
دادههای بلاکچین و کد منبع نشان میدهند که گروه باج افزار Akira به احتمال زیاد وابسته به باج افزار Conti میباشد که اکنون منحل شده است.
جهش Akira برای نفوذ به محیطهای سازمانی لینوکس نیز به دنبال اقدامات مشابه دیگر خانوادههای باج افزار تاسیس شده مانند LockBit، Cl0p، Royal، Monti و RTM Locker است.
طی یک عملیات بین المللی سایبری در ماه فوریه، چندین دامنه دارک نت مورد استفاده توسط یکی از خطرناکترین گروههای باج افزاری به نام LockBit نیز توقیف گردید. در حالی که وسعت این عملیات، با نام رمز Cronos (کرونوس)، ناشناخته است، اما با بازدید از وب سایت این گروه، یک بنر توقیف حاوی پیام “این سایت هم اکنون تحت کنترل مجریان قانون است” نمایش داده میشود.
LockBit که در سوم سپتامبر 2019 فعالیت خود را آغاز کرده است، یکی از خطرناکترین و بدنام ترین باج افزارهای تاریخ بوده که تا به امروز بیش از دو هزار قربانی داشته است. تخمین زده میشود که این باج افزار حداقل 91 میلیون دلار از سازمانهای آمریکایی اخاذی کرده است.
این افشاگری در حالی صورت میپذیرد که Trend Micro فاش کرد، سرنگونی گسترده گروه پرکار LockBit در اوایل فوریه امسال تأثیر عملیاتی و اعتباری قابل توجهی بر توانایی این گروه برای بازگشت به میدان داشته است و باعث شده تا اسامی و شمخصات قربانیان قدیمی و جعلی را در سایت انتشار داده جدید خود پست کند. LockBit احتمالاً در تلاش است تا قویتر از گذشته باز گردد و کسانی که مسئول اختلال در آن هستند را هدف قرار دهد.
[1] Europol’s European Cybercrime Centre
[2] Remote Desktop Protocol
[3] spear-phishing
[4] virtual private network
[5] multi-factor authentication
[6] Bring Your Own Vulnerable Driver
