Akira 勒索软件组织已被确定为一系列针对北美、欧洲和澳大利亚企业和关键基础设施实体的网络攻击的罪魁祸首。
根据美国联邦调查局 (FBI) 的最新通报,自 2023 年 3 月以来,Akira 勒索软件组织已成功入侵 250 多个组织,累积勒索软件金额高达 4200 万美元。
Akira 的策略最初专注于 Windows 系统,最近扩展到包括 Linux 变体,加剧了全球网络安全机构的担忧。
FBI与网络安全和基础设施安全局 ( CISA )、欧洲刑警组织欧洲网络犯罪中心 (EC3) 和荷兰国家网络安全中心 (NCSC-NL)等主要参与者合作,发布了有关 Akira 勒索软件的联合咨询提高认识并传播重要的威胁信息。
Akira 勒索软件组织的隐藏作案手法
FBI披露了Akira 勒索软件组织的作案手法,其中涉及多方面的方法来渗透和危害目标组织。 Akira 攻击者利用 Cisco 系统中的漏洞,特别是 CVE-2020-3259 和 CVE-2023-20269,利用缺乏多重身份验证(MFA) 的虚拟专用网络 (VPN) 以及远程桌面协议 (RDP) 和其他入口点等漏洞。鱼叉式网络钓鱼。
一旦进入网络,Akira特工就会通过创建新的域帐户并采用凭证抓取等后利用技术以及 Mimikatz 和 LaZagne 等凭证抓取工具来建立持久性。
这使他们能够升级权限并在不被发现的情况下浏览网络,利用 SoftPerfect 和 Advanced IP Scanner 等侦察工具来绘制基础设施。
此外,威胁行为者多年来不断发展,并一直在“针对同一妥协事件中的不同系统架构”使用多种勒索软件变体。该策略与之前报道的 Akira 附属合作伙伴及其黑客流程不同。
“Akira 威胁行为者首先被发现部署了 Windows 特定的“Megazord”勒索软件,进一步分析表明,在这次攻击中同时部署了第二个有效负载(后来被识别为 Akira ESXi 加密器的新型变体“Akira_v2”) ”,联邦调查局说。
防御规避、加密和缓解
除了进攻端的升级之外,Akira 勒索软件组织还拥有下一代隐身技术来逃避检测。据联邦调查局称,该组织一直在部署各种策略,包括禁用安全软件和同时部署多个勒索软件变体。
勒索软件加密过程非常复杂,采用混合加密方案,将 ChaCha20 流密码与 RSA 公钥加密系统相结合,根据文件类型和大小量身定制。加密文件标有 .akira 或 .powerranges 扩展名,勒索字条策略性地放置在目录中。
为了应对 Akira 勒索软件带来的威胁,CISA 等网络安全机构主张采取积极措施来降低风险并增强组织弹性。建议包括实施多因素身份验证、维护最新的软件补丁、分段网络以及采用强大的端点检测和响应 (EDR) 工具。
此外,建议组织定期审核用户帐户,禁用未使用的端口,并强制执行最小权限原则以限制未经授权的访问。备份策略应包括覆盖整个数据基础设施的离线加密备份,确保在遭受勒索软件攻击时快速恢复。
发表评论
您还未登录,请先登录。
登录