ФБР предупреждает о вымогательстве биткойнов, связанном с мошенничеством с вымогательством на 42 миллиона долларов
Федеральное бюро расследований (ФБР), Агентство кибербезопасности и безопасности инфраструктуры (CISA) США, Национальный центр кибербезопасности Нидерландов (NCSC-NL) и Европейский центр киберпреступности Европола (EC3) выпустил совместное предупреждение о вымогателе Akira.
Группа несет ответственность за атаки на более чем 250 компаний и объекты критической инфраструктуры с марта 2023 года, в основном в Северной Америке, Европе и Австралии.
Эволюция Акиры и техники атаки
По состоянию на 1 января 2024 года злоумышленники Akira собрали выкуп на сумму около 42 миллионов долларов. Они нацелены на различные отрасли, что вызывает серьезную обеспокоенность организаций по всему миру.
Первоначально написанный на C++, Akira изначально шифровал файлы с расширением .akira. Однако появились вариации. Начиная с августа 2023 года группа распространяла программу-вымогатель Megazord на базе Rust, добавляя к зашифрованным файлам расширение .powerranges. Некоторые атаки теперь включают использование вариантов Мегазорда и Акиры для большего эффекта.
Читать далее: Главные мошенничества с криптовалютами в 2024 году
Исследователи ФБР и кибербезопасности отследили первоначальные методы доступа Акиры. Они обычно используют известные уязвимости в сервисах Cisco VPN, в которых отсутствует многофакторная аутентификация (MFA). Кроме того, они получают доступ через протоколы удаленного рабочего стола, целевой фишинг и скомпрометированные учетные данные.
Попав в сеть, злоумышленники Akira создают новые учетные записи домена для обеспечения устойчивости. Затем они используют инструменты очистки учетных данных, такие как Mimikatz, для повышения привилегий. Проверка системы и идентификация контроллера домена выполняются с помощью таких инструментов, как SoftPerfect и Advanced IP Scanner, а также собственных команд Windows.
Авторы Akira часто отключают защитное программное обеспечение перед тем, как перейти к скомпрометированным сетям. Было замечено, что PowerTool отключает антивирусные процессы, чтобы избежать обнаружения.
Для кражи конфиденциальных данных операторы Akira широко используют инструменты кражи, такие как FileZilla, WinSCP и службы облачного хранения. Они устанавливают каналы управления и контроля с помощью AnyDesk, RustDesk и Cloudflare Tunnel.
Следуя модели двойного вымогательства, злоумышленники «Акиры» шифруют системы после кражи данных. Их записка о выкупе включает уникальный код и URL-адрес .onion для связи с ними. Они не указывают первоначальную сумму выкупа, что побуждает жертв идти на переговоры.
Выкуп выплачивается в биткойнах на адреса криптокошельков, предоставленные злоумышленниками.
Кроме того, чтобы оказать дальнейшее давление, злоумышленники Akira угрожают опубликовать украденные данные в сети Tor и, в некоторых случаях, вызывают компании-жертвы, сообщает ФБР.
ФБР, CISA, EC3 и NCSC-NL выпустили комплексные рекомендации по системе угроз Akira и методам обнаружения сетей. Реализация этих мер может значительно снизить риск успешной атаки.
«Помимо применения мер по снижению рисков, ФБР, CISA, EC3 и NCSC-NL рекомендуют тренировать, тестировать и проверять программу безопасности вашей организации на предмет поведения угроз, сопоставленного с инфраструктурой MITRE ATT&CK для предприятий в этой рекомендации», — пишет CISA в отчете. его отчет .
Подробнее: 5 основных недостатков криптографической безопасности и как их избежать
Согласно отчету Chainaанализа за февраль 2024 года, в 2023 году атаки программ-вымогателей усилились : у жертв было вымогательством 1 миллиард долларов. Это подчеркивает растущую киберугрозу и необходимость для организаций улучшить свою киберзащиту .
Сообщение ФБР предупреждает о вымогательстве биткойнов, связанном с вымогательством на сумму 42 миллиона долларов, впервые появилось на BeInCrypto .