Według CISA, FBI, Europolu i holenderskiego Narodowego Centrum Cyberbezpieczeństwa (NCSC-NL) od początku 2023 r. oprogramowanie ransomware Akira pochłonęło ponad 250 ofiar na całym świecie i otrzymało ponad 42 mln dolarów okupu.
Zaobserwowano, że operatorzy oprogramowania ransomware Akira atakują organizacje z różnych branż, w tym usług i towarów, produkcji, edukacji, budownictwa, infrastruktury krytycznej, finansów, opieki zdrowotnej i sektora prawnego.
Początkowo atakując tylko systemy Windows, Akira infekuje także maszyny wirtualne VMware ESXi od kwietnia 2023 r., a od sierpnia 2023 r. został wdrożony wspólnie z Megazord, zauważają CISA, FBI, Europol i NCSC-NL.
W celu uzyskania początkowego dostępu operatorzy oprogramowania ransomware Akira atakowali usługi VPN pozbawione uwierzytelniania wieloskładnikowego, wykorzystując głównie znane luki w produktach Cisco (takie jak CVE-2020-3259 i CVE-2023-20269).
Ponadto zaobserwowano, że korzystały z protokołu zdalnego pulpitu (RDP), spear phishingu i ważnych danych uwierzytelniających w celu uzyskania dostępu do środowisk ofiar.
Po początkowym dostępie zaobserwowano, że ugrupowania zagrażające w celu zachowania trwałości tworzyły nowe konta domenowe (w tym w niektórych przypadkach konto administracyjne), wyodrębniały dane uwierzytelniające oraz przeprowadzały wykrywanie sieci i kontrolerów domeny.
Podobnie jak inne grupy zajmujące się oprogramowaniem ransomware, Akira eksfiltruje dane ofiar przed ich zaszyfrowaniem. Ofiary są instruowane, aby skontaktowały się z napastnikami za pośrednictwem witryny opartej na sieci Tor, a następnie proszone są o zapłacenie okupu w Bitcoinach.
„Aby wywrzeć dalszą presję, ugrupowania Akira grożą opublikowaniem wydobytych danych w sieci Tor” – zauważają CISA, FBI, Europol i NCSC-NL.