اخاذی ۴۲ میلیون دلاری توسط آکیرا!

linux

گروه هکری پشت نرم افزار آکیرا تا اول ژانویه ۲۰۲۴، با نفوذ به شبکه‌های بیش از ۲۵۰ قربانی، حدود ۴۲ میلیون دلار درآمد غیرقانونی کسب کرده است.

بر اساس هشدار مشترکی که توسط سازمان‌های امنیت سایبری هلند و آمریکا به همراه مرکز جرائم سایبری اروپا (EC3) صادر شده، «نرم افزار آکیرا از مارس ۲۰۲۳ بر روی کسب‌وکارهای مختلف و زیرساخت‌های حیاتی در آمریکای شمالی، اروپا و استرالیا تأثیر گذاشته است.»

این گزارش می‌افزاید: «در آوریل ۲۰۲۳، پس از تمرکز اولیه روی سیستم‌های ویندوز، بازیگران مخرب آکیرا نسخه‌ای برای سیستم‌عامل لینوکس را نیز هدف قرار دادند که ماشین‌های مجازی VMware ESXi را آلوده می‌کند.»

گروه نرم افزار آکیرا که باج مضاعف طلب می‌کند، در مراحل اولیه از نسخه نوشته‌شده با ++C استفاده می‌کرد، اما از آگوست ۲۰۲۳ به کد نوشته‌شده با زبان Rust روی آورده است. لازم به ذکر است که این گروه نرم افزار مجرمانه، کاملاً با خانواده نرم افزار آکیرا که در سال ۲۰۱۷ فعال بود، متفاوت است.

دسترسی اولیه به شبکه‌های هدف از طریق سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده در تجهیزات سیسکو تسهیل می‌شود. روش‌های جایگزین نفوذ شامل استفاده از پروتکل دسترسی از راه دور (RDP)، فیشینگ هدفمند، اعتبارنامه‌های معتبر و سرویس‌های شبکه خصوصی مجازی (VPN) است که فاقد حفاظت تأیید هویت دو مرحله‌ای (MFA) هستند.

گروه (Akira) از روش‌های مختلفی برای نفوذ و اخاذی استفاده می‌کند. آن‌ها با ساخت حساب کاربری جدید در سیستم آلوده، به آن دسترسی دائمی پیدا می‌کنند (persistence) و برای اینکه شناسایی نشوند از درایور نرم‌افزار امنیتی Zemana AntiMalware سوء‌استفاده کرده و با تکنیک BYOVD (بستن برنامه‌های آنتی‌ویروس با درایور آسیب‌پذیر دلخواه) جلوی آنتی‌ویروس را می‌گیرند.

برای دسترسی به سطوح بالاتر در سیستم قربانی، از ابزارهای سرقت اعتبارنامه مانند Mimikatz و LaZagne استفاده می‌کنند و با استفاده از RDP (پروتکل ریموت دسکتاپ ویندوز) در شبکه قربانی به صورت جانبی حرکت می‌کنند (lateral movement). خروج اطلاعات محرمانه نیز با استفاده از نرم‌افزارهایی مثل FileZilla، WinRAR، WinSCP و RClone انجام می‌شود.

تحلیلگران امنیت گزارش کرده‌اند که باستان‌افزار (ransomware) آکیرا از الگوریتم ترکیبی Chacha20 و RSA برای رمزنگاری اطلاعات استفاده می‌کند و همچنین می‌تواند با حذف نسخه‌های پشتیبان (shadow copies) امکان بازیابی اطلاعات را از بین ببرد.

در برخی موارد، گروه آکیرا برای سیستم‌های با ساختارهای مختلف (ویندوز و ESXi) از نرم افزارهای مجزایی (Akira_v2) استفاده کرده است. شواهد حاکی از آن است که گروه آکیرا با گروه باج‌افزار منحل‌شده Conti مرتبط است. اگرچه شرکت Avast در جولای گذشته ابزار رمزگشایی برای آکیرا منتشر کرد، اما به احتمال زیاد این ابزار دیگر کارایی ندارد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *