据美国联邦调查局(FBI)和其他当局称,在不到一年的时间里,以多重勒索策略著称的「Akira」勒索软件团伙已从250多个受影响的组织中获得了约 4200 万美元的勒索软件收益。
这个数据截至 2024 年 1 月 1 日,而该团伙去年 3 月才首次被发现的。显而易见,Akira 已经迅速成为最有成效的网络犯罪团伙之一。
对此,包括 FBI、网络安全和基础设施安全局(CISA)、欧洲刑警组织欧洲网络犯罪中心等在内的网络机构发布了一份联合网络安全建议,帮助网络防御者更好地防范 Akira 的攻击。
FBI 和网络安全研究人员观察到,Akira 威胁行为者在未配置多因素身份验证(MFA)的情况下,通过虚拟专用网络(VPN)服务获得对机构的初始访问权限。黑客们大多使用已知的思科漏洞,但他们也通过利用远程桌面协议、鱼叉式网络钓鱼和滥用有效凭证来获得初始访问权限。
文件指出,自 2023 年 3 月以来,Akira 勒索软件已对北美、欧洲和澳大利亚的众多企业和关键基础设施实体造成了影响。2023 年 4 月,继最初关注 Windows 系统之后,Akira 威胁行为者又部署了针对 VMware ESXi 虚拟机的 Linux 变种。
机构解释称,Akira 勒索软件变种的早期版本是用 C++ 编写的,加密文件的扩展名为 .akira。然而,自 2023 年 8 月起,Akira 转向使用基于 Rust 的代码部署特定于 Windowts 的「Megazord」勒索软件。加密的文件扩展名改为 .powerranges,这种变化可能是由于 Avast 发布了一个解密器。
网络安全研究人员观察到,当 Akira 威胁行为者准备横向移动时,他们通常会禁用安全软件以避免被发现,通常是使用 PowerTool 来利用 Zemana AntiMalware 驱动程序并终止杀毒软件相关进程。
Akira 最大的受害者包括日本汽车巨头日产汽车公司(该公司向 10 万人通报了网络泄露事件)、斯坦福大学(据称该校丢失了 430GB 的内部数据)和得克萨斯州的一个城市纳索贝。
该勒索软件团伙的一贯作风是要求受害者支付 20 万至 400 万美元不等的赎金,如果不支付赎金,就在网上公布窃取的数据。
当局鼓励各机构实施 CSA 中缓解措施部分的建议,以降低勒索软件事件发生的可能性和影响。建议包括:
「实施恢复计划」,维护和保留多个数据副本
使用强密码、多因素身份验证、保持软件和固件更新、网络分段、网络流量过滤等
参考资料:
https://cybernews.com/security/akira-ransomware-42-million-looted/