Akira Ransomware-bende perst $42 miljoen af; Richt zich nu op Linux-servers

Bedreigingsactoren achter de Akira-ransomwaregroep hebben ongeveer 42 miljoen dollar aan illegale opbrengsten afgeperst nadat ze op 1 januari 2024 de netwerken van meer dan 250 slachtoffers hadden doorbroken.

“Sinds maart 2023 heeft de Akira-ransomware gevolgen gehad voor een breed scala aan bedrijven en kritieke infrastructuurentiteiten in Noord-Amerika, Europa en Australië”, aldus cyberveiligheidsagentschappen uit Nederland en de VS, samen met het European Cybercrime Center (EC3) van Europol. gezamenlijke waarschuwing.

“In april 2023, na een aanvankelijke focus op Windows-systemen, implementeerden Akira-bedreigingsactoren een Linux-variant gericht op virtuele VMware ESXi-machines.”

Er is waargenomen dat de groep met dubbele afpersing in de vroege stadia een C++-variant van het kluisje gebruikte, voordat ze vanaf augustus 2023 overstapten op een op Rust gebaseerde code. Het is vermeldenswaard dat de e-crime-actor compleet anders is dan de Akira-ransomwarefamilie die in 2017 actief was.

De initiële toegang tot doelnetwerken wordt vergemakkelijkt door gebruik te maken van bekende fouten in Cisco-appliances (bijv. CVE-2020-3259 en CVE-2023-20269).

Alternatieve vectoren omvatten het gebruik van Remote Desktop Protocol (RDP), spear-phishing, geldige inloggegevens en VPN-services (virtueel particulier netwerk) zonder bescherming tegen multi-factor authenticatie (MFA).

Cyberbeveiliging

Het is ook bekend dat Akira-acteurs verschillende manieren gebruiken om persistentie in te stellen door een nieuw domeinaccount op het gecompromitteerde systeem aan te maken, en detectie te omzeilen door het Zemana AntiMalware-stuurprogramma te misbruiken om antivirusgerelateerde processen te beëindigen via een zogenaamde Bring Your Own Vulnerable Driver. (BYOVD)-aanval.

Om de escalatie van privileges te vergemakkelijken, vertrouwt de tegenstander op credential scraping-tools zoals Mimikatz en LaZagne, terwijl Windows RDP wordt gebruikt om lateraal binnen het netwerk van het slachtoffer te bewegen. Gegevensexfiltratie wordt bereikt via FileZilla, WinRAR, WinSCP en RClone.

“Akira ransomware versleutelt gerichte systemen met behulp van een hybride encryptie-algoritme dat Chacha20 en RSA combineert”, zei Trend Micro in een analyse van de ransomware die in oktober 2023 werd gepubliceerd.

“Bovendien heeft het binaire bestand Akira ransomware, net als de meeste moderne ransomware-binaire bestanden, een functie waarmee het systeemherstel kan worden belemmerd door schaduwkopieën van het getroffen systeem te verwijderen.”

Uit blockchain- en broncodegegevens blijkt dat de Akira-ransomwaregroep waarschijnlijk banden heeft met de inmiddels ter ziele gegane Conti-ransomwarebende. Afgelopen juli werd door Avast een decryptor voor Akira uitgebracht, maar het is zeer waarschijnlijk dat de tekortkomingen sindsdien zijn verholpen.

Akira-ransomware

De mutatie van Akira om zich te richten op Linux-bedrijfsomgevingen volgt ook op soortgelijke stappen van andere gevestigde ransomware-families zoals LockBit, Cl0p, Royal, Monti en RTM Locker.

De strijd van LockBit om terug te komen

De onthulling komt op het moment dat Trend Micro onthulde dat de ingrijpende uitschakeling door de wetshandhaving van de productieve LockBit-bende eerder deze februari een aanzienlijke operationele en reputatie-impact heeft gehad op het vermogen van de groep om terug te stuiteren, wat ertoe heeft geleid dat zij oude en nep-slachtoffers op haar nieuwe datalek heeft geplaatst. plaats.

“LockBit was een van de meest productieve en meest gebruikte RaaS-soorten die in gebruik zijn, met mogelijk honderden aangesloten partijen, waaronder veel geassocieerd met andere prominente soorten”, merkte Chainalysis in februari op.

Het blockchain-analysebedrijf zei dat het cryptocurrency-sporen heeft blootgelegd die een LockBit-beheerder verbinden met een in Sebastopol gevestigde journalist, bekend als kolonel Cassad, die een geschiedenis heeft van het vragen om donaties voor operaties van Russische milities in de gesanctioneerde rechtsgebieden Donetsk en Loehansk na het begin van de Russo. -Oekraïense oorlog in 2022.

Het is de moeite waard erop te wijzen dat Cisco Talos in januari 2022 kolonel Cassad (ook bekend als Boris Rozhin) in verband bracht met een anti-Oekraïense desinformatiecampagne, georkestreerd door de door de Russische staat gesponsorde groep bekend als APT28.

“Na de operatie heeft LockBitSupp [the alleged leader of LockBit] Het lijkt erop dat ze proberen het schijnbare aantal slachtoffers op te blazen, terwijl ze zich tegelijkertijd richten op het posten van slachtoffers uit landen waarvan de wetshandhavingsinstanties hebben deelgenomen aan de ontwrichting”, zei Trend Micro onlangs in een diepe duik.

Cyberbeveiliging

“Dit is mogelijk een poging om het verhaal te versterken dat het sterker terug zou komen en zich te richten op degenen die verantwoordelijk zijn voor de verstoring ervan.”

In een interview met Recorded Future News vorige maand erkende LockBitSupp de kortetermijndaling van de winst, maar beloofde het hun veiligheidsmaatregelen te verbeteren en “te werken zolang mijn hart klopt”.

“Reputatie en vertrouwen zijn de sleutel tot het aantrekken van aangesloten bedrijven, en als deze verloren gaan, is het moeilijker om mensen terug te laten keren. Operatie Cronos slaagde erin één onderdeel van zijn bedrijf aan te vallen dat het belangrijkste was: zijn merk”, aldus Trend Micro.

Akira-ransomware

Agenda keert terug met een bijgewerkte Rust-versie

De ontwikkeling volgt ook het gebruik van een bijgewerkte Rust-variant door de Agenda-ransomwaregroep (ook bekend als Qilin en Water Galura) om VMWare vCenter- en ESXi-servers te infecteren via Remote Monitoring and Management (RMM)-tools en Cobalt Strike.

“Het vermogen van de Agenda-ransomware om zich te verspreiden naar de infrastructuur van virtuele machines laat zien dat de operators zich ook uitbreiden naar nieuwe doelen en systemen”, aldus het cyberbeveiligingsbedrijf.

Akira-ransomware

Zelfs nu een nieuwe lichting ransomware-actoren het dreigingslandschap blijft stimuleren, wordt het ook steeds duidelijker dat ‘ruwe, goedkope ransomware’ die via de cybercriminaliteit wordt verkocht, wordt gebruikt bij aanvallen in de echte wereld, waardoor individuele dreigingsactoren op een lager niveau de kans krijgen om aanzienlijke winst genereren zonder deel uit te hoeven maken van een goed georganiseerde groep.

Interessant is dat het merendeel van deze varianten beschikbaar is voor een enkele, eenmalige prijs vanaf slechts $ 20 voor een enkele build, terwijl een paar andere, zoals HardShield en RansomTuga, zonder extra kosten worden aangeboden.

“Ver weg van de complexe infrastructuur van moderne ransomware, stelt junk-gun ransomware criminelen in staat om goedkoop, gemakkelijk en onafhankelijk aan de slag te gaan”, aldus Sophos, die het omschrijft als een “relatief nieuw fenomeen” dat de toegangskosten verder verlaagt.

“Ze kunnen zich richten op kleine bedrijven en individuen, die waarschijnlijk niet over de middelen beschikken om zichzelf te verdedigen of effectief op incidenten te reageren, zonder iemand anders een korting te geven.”

Thijs Van der Does