FBI 警告称,Akira 勒索软件集团通过 250 多次全球攻击获利 4200 万美元

阅读量33333

发布时间 : 2024-04-22 11:22:06

Akira 勒索软件组织已被确定为一系列针对北美、欧洲和澳大利亚企业和关键基础设施实体的网络攻击的罪魁祸首。

根据美国联邦调查局 (FBI) 的最新通报,自 2023 年 3 月以来,Akira 勒索软件组织已成功入侵 250 多个组织,累积勒索软件金额高达 4200 万美元。

Akira 的策略最初专注于 Windows 系统,最近扩展到包括 Linux 变体,加剧了全球网络安全机构的担忧。

FBI与网络安全和基础设施安全局 ( CISA )、欧洲刑警组织欧洲网络犯罪中心 (EC3) 和荷兰国家网络安全中心 (NCSC-NL)等主要参与者合作,发布了有关 Akira 勒索软件联合咨询提高认识并传播重要的威胁信息。

Akira 勒索软件组织的隐藏作案手法

FBI披露了Akira 勒索软件组织的作案手法,其中涉及多方面的方法来渗透和危害目标组织。 Akira 攻击者利用 Cisco 系统中的漏洞,特别是 CVE-2020-3259 和 CVE-2023-20269,利用缺乏多重身份验证(MFA) 的虚拟专用网络 (VPN) 以及远程桌面协议 (RDP) 和其他入口点等漏洞。鱼叉式网络钓鱼。

一旦进入网络,Akira特工就会通过创建新的域帐户并采用凭证抓取等后利用技术以及 Mimikatz 和 LaZagne 等凭证抓取工具来建立持久性。

这使他们能够升级权限并在不被发现的情况下浏览网络,利用 SoftPerfect 和 Advanced IP Scanner 等侦察工具来绘制基础设施。

此外,威胁行为者多年来不断发展,并一直在“针对同一妥协事件中的不同系统架构”使用多种勒索软件变体。该策略与之前报道的 Akira 附属合作伙伴及其黑客流程不同。 

“Akira 威胁行为者首先被发现部署了 Windows 特定的“Megazord”勒索软件,进一步分析表明,在这次攻击中同时部署了第二个有效负载(后来被识别为 Akira ESXi 加密器的新型变体“Akira_v2”) ”,联邦调查局说。

防御规避、加密和缓解

除了进攻端的升级之外,Akira 勒索软件组织还拥有下一代隐身技术来逃避检测。据联邦调查局称,该组织一直在部署各种策略,包括禁用安全软件和同时部署多个勒索软件变体。 

勒索软件加密过程非常复杂,采用混合加密方案,将 ChaCha20 流密码与 RSA 公钥加密系统相结合,根据文件类型和大小量身定制。加密文件标有 .akira 或 .powerranges 扩展名,勒索字条策略性地放置在目录中。

为了应对 Akira 勒索软件带来的威胁,CISA 等网络安全机构主张采取积极措施来降低风险并增强组织弹性。建议包括实施多因素身份验证、维护最新的软件补丁、分段网络以及采用强大的端点检测和响应 (EDR) 工具。

此外,建议组织定期审核用户帐户,禁用未使用的端口,并强制执行最小权限原则以限制未经授权的访问。备份策略应包括覆盖整个数据基础设施的离线加密备份,确保在遭受勒索软件攻击时快速恢复

本文转载自:

如若转载,请注明出处: https://thecyberexpress.com/akira-ransomware-group-advisory/#google_vignette

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66