RSS CISA Советы по кибербезопасности
Подписаться
#StopRansomware: Akira Ransomware
Это Кибербезопасное Уведомление касается программы-вымогателя Akira, описывая ее тактики, техники и процедуры, а также индикаторы компрометации, чтобы помочь организациям укрепить свои защитные меры. С момента своего появления в 2023 году Akira атаковала разные сектора по всему миру, затронув более 250 организаций и собрав примерно 42 миллиона долларов в виде выкупа. Программа-вымогатель эксплуатирует уязвимости в услугах VPN, RDP, фишинг-атаки по электронной почте и скомпрометированные учетные данные для получения начального доступа. После проникновения Akira-акторы устанавливают постоянство, повышают привилегии и проводят разведку в скомпрометированной сети. Они используют техники уклонения от защиты, включая отключение программного обеспечения безопасности, и применяют модель двойного вымогательства, похищая данные перед шифрованием систем. Похищение данных проводится с помощью инструментов, таких как FileZilla, WinRAR и RClone, а каналы связи с центром управления устанавливаются с помощью AnyDesk, MobaXterm и аналогичных инструментов. Шифрование достигается с помощью мощного гибридного метода, сочетающего алгоритмы ChaCha20 и RSA, усложняя восстановление системы. Жертвам отправляются требования выкупа с инструкциями по контакту с злоумышленниками, требующими оплаты в биткоинах. Уведомление также подробно описывает используемые инструменты, индикаторы компрометации и две разные версии Akira, включая более новую версию Akira_v2, подчеркивая ее улучшенные функции и эволюцию.