Откакто се появи като заплаха през март, рансъмуерът Arika продължи да се развива, като първоначално беше насочен към системи с Windows, а след това обхвана и сървъри с Linux и използва все по-голям набор от тактики, техники и процедури (ТТП).

В задълбочен доклад за Akira от LogPoint се прави разбивка на „изключително сложния“ рансъмуер, който криптира файловете на жертвите, изтрива сенчестите копия и изисква заплащане на откуп за възстановяване на данните.

Веригата за заразяване активно се насочва към Cisco ASA VPN, при които липсва многофакторно удостоверяване, за да използва уязвимостта CVE-2023-20269 като входна точка.

Към началото на септември групата успешно е поразила 110 жертви, като се е фокусирала върху цели в САЩ и Обединеното кралство.

Британската компания за осигуряване на качеството Intertek беше неотдавнашна високопоставена жертва; групата се е насочила и към организации в областта на производството, професионалните услуги и автомобилостроенето.

Според неотдавнашен доклад на GuidePoint Security GRI образователните организации са били непропорционално многобройни мишени на Akira, като те представляват осем от 36-те наблюдавани жертви.

Кампанията за получаване на откуп включва множество образци на зловреден софтуер, които при изпълнението си извършват различни стъпки, включително изтриване на копия в сянка, търсене на файлове, изброяване и криптиране.

Akira използва метод на двойно изнудване, като краде лични данни, криптира ги и след това изнудва жертвите за пари. Ако те откажат да платят, групата заплашва да публикува данните в тъмната мрежа.

След като получи достъп, групата използва инструменти, включително приложенията за отдалечен работен плот AnyDesk и RustDesk и инструмента за криптиране и архивиране WinRAR.

Според доклада инструментът за разширена системна информация и мениджърът на задачи PC Hunter помагат на групата да се придвижва странично през пробитите системи, заедно с wmiexc.

Групата може също така да деактивира наблюдението в реално време, за да избегне откриването от Windows Defender, а сенчестите копия се изтриват чрез PowerShell.

Файловете с бележки за откуп се пускат в множество файлове в системата на жертвата, които съдържат инструкции за плащане и помощ за декриптиране.

Аниш Богати, инженер по изследванията на сигурността в Logpoint, казва, че използването от Akira на вътрешния двоичен код на Windows (известен също като LOLBAS) за изпълнение, извличане на пълномощия, избягване на защитата, улесняване на страничното движение и изтриване на резервни копия и копия в сянка, е най-обезпокоителният TTP на групата.

„Вътрешните двоични файлове на Windows обикновено не се наблюдават от защитата на крайните точки и вече присъстват в системата, така че не е необходимо противниците да ги изтеглят в системата“, обяснява той.

Богати добавя, че не може да се пренебрегне възможността за създаване на конфигурация на задачата (местоположение на файловете или папките, които ще бъдат криптирани, определяне на процента на данните, които ще бъдат криптирани), тъй като тя автоматично създава конфигурацията без ръчна намеса.

Прилагане на контрамерки

„Еволюцията на множество варианти на зловреден софтуер и неговите възможности предполагат, че участниците в заплахите бързо се адаптират в съответствие с тенденциите“, отбелязва Богати. „Групата на Akira е с добър опит и познава добре възможностите за защита, тъй като злоупотребява с вътрешните двоични файлове на Windows, API и легитимния софтуер.“

Той препоръчва на организациите да прилагат MFA и да ограничават разрешенията, за да предотвратят грубото насилване на идентификационните данни, както и да поддържат софтуера и системите актуализирани, за да изпреварят противниците, които постоянно използват новооткрити уязвимости.

Сред другите препоръки, съдържащи се в доклада, са одит на привилегированите акаунти и редовно обучение за повишаване на осведомеността за сигурността.

В доклада се препоръчва и сегментиране на мрежата с цел изолиране на критичните системи и чувствителните данни, което намалява риска от пробиви и ограничава страничното движение на нападателите.

Богати казва, че организациите трябва да обмислят и блокирането на неоторизирани инструменти за тунелиране и отдалечен достъп, като Cloudflare ZeroTrust, ZeroTier и TailScale, които, както обяснява той, често се използват от противниците за скрит достъп до компрометирани мрежи.

Пейзажът на рансъмуер се характеризира с нови участници

Бандата, кръстена на култовата японска аниме класика от 1988 г. с участието на психопатичен мотоциклетист, се появи като киберпрестъпна сила, с която трябва да се съобразяваме, през април тази година и е известна предимно с атаките си срещу системи Windows.

Преминаването на Akira към корпоративните среди на Linux следва движението на други, по-утвърдени рансъмуери – като групите за рансъмуер Cl0p, Royal и IceFire – към същото.

Akira е сред свежата реколта от ransomware банди, активизирали пейзажа на заплахите, който се характеризира с появата на по-малки групи и нови тактики, докато утвърдени банди като LockBit вземат по-малко жертви.

По-новите групи за рансъмуер включват 8Base, Malas, Rancoz и BlackSuit, като всяка от тях има свои собствени отличителни характеристики и цели.

„Като гледаме броя на жертвите им, Akira вероятно ще се превърне в една от най-активните банди“, предупреждава Богати. „Те разработват множество варианти на своя зловреден софтуер с различни възможности и няма да пропуснат нито една възможност да се възползват от непоправени системи.“