自 2023 年初发现以来,Akira 勒索软件已从勒索软件领域看似普通的补充发展成为影响广泛企业和关键基础设施实体的重大威胁。这种演变,加上其泄漏站点和通信的独特美学,引起了人们对其运营的关注。
Akira 的数据泄露网站,主页
正如最近发布的 CISA 咨询声明所述, 截至 2024 年 1 月 1 日,已有超过250 个组织 受到影响,勒索软件收益约为 4200 万美元。
Akira 勒索软件是谁
该勒索组织采用双重勒索策略,首先窃取数据,然后加密目标网络内的设备。然后,不仅需要付费才能解密文件,而且还需要付费才能防止泄露的数据曝光。
据信,该勒索软件的名称源自 1988 年的一部赛博朋克主题动漫电影。在这部电影中,阿基拉对新东京的破坏被描述为针对邪恶势力在城市中占据主导地位的预防措施。
这种说法与勒索软件运营商的一个常见论点相似,他们“声称”将世界经济体系视为邪恶之源。他们经常将自己视为现代的罗宾汉或阿基拉,与他们认为的系统性不公正现象作斗争。
《Akira》(1998 年)这部电影可能启发了勒索软件组织,流行文化是威胁行为者广泛的共同参考点,特别是因为此类文化产品在网络空间(互联网)中生长。 (图片来源: IMDb)
根据 CISA 的建议,自 2023 年 3 月以来,Akira 勒索软件已经影响了北美、欧洲和澳大利亚的众多企业和关键基础设施实体。该威胁最初主要针对 Windows 系统,并于 2023 年 4 月扩大到针对具有 Linux 变体的 VMware ESXi 虚拟机。截至 2024 年 1 月 1 日,该组织已影响了 250 多个组织,并积累了约 4200 万美元的勒索软件收益。
Akira 勒索软件的早期版本采用 C++ 编码,对加密文件使用 .akira 扩展名。从 2023 年 8 月开始,一些 Akira 攻击引入了 Megazord,这是一种 基于Rust 的加密工具,使用 .powerranges 扩展名。 Akira 背后的威胁行为者在攻击中交替使用 Megazord 和 Akira_v2(由独立调查确定)。
受害者学
Akira 勒索软件组织经常索要巨额赎金,主要针对北美、欧洲和澳大利亚的大型企业。通常,恶意软件通过使用 网络钓鱼电子邮件或利用软件漏洞的有针对性的威胁活动进行传播,重点关注教育、金融、制造和 医疗保健 等行业 。
去年 Akira 勒索软件的目标国家
美国的受害者人数在图表中占据主导地位,远远超过了其他国家。
这份目标国家名单显示,与美国关系密切的国家,例如欧洲国家,是美国以外受害者的大多数。
Akira 勒索软件的受害者列表
为了在勒索软件组织的主页(类似于命令行界面)上显示受害者,访客必须输入“-leaks”命令。此命令按时间顺序列出受害者,从第一个受害者到最近的受害者。
受害者的详细信息附有一个 torrent 磁力链接,用于访问所谓的文件,以及有关受害者的信息、泄露的数据量以及已公开的数据部分。
不幸的是,该设计似乎不包含任何复活节彩蛋
同样,接触部分是从这个界面完成的。当在命令行中输入 -contacts 命令时,将询问姓名和消息。
操作模式
正如 CISA 公告中所述:
初始访问:
Akira 威胁行为者主要通过缺乏多重身份验证 (MFA) 的虚拟专用网络 (VPN) 服务获得对组织的初始访问权限,通常利用思科系统中的已知漏洞,例如 CVE-2020-3259 和 CVE-2023-20269。其他方法包括远程桌面协议 (RDP)、 鱼叉式网络钓鱼和凭据滥用。
坚持与发现:
获得初始访问权限后,Akira 参与者通过创建新的域帐户并利用域控制器来建立持久性。他们利用 Kerberoasting 等后利用技术来提取凭据并使用凭据抓取工具来进行权限升级。网络扫描工具有助于侦察和识别域控制器。
防御闪避:
Akira 攻击者可能会在同一攻击中部署多个勒索软件变体、禁用安全软件并终止防病毒相关进程以避免检测。
渗透和影响:
FileZilla 和 WinSCP 等工具用于数据泄露,而 AnyDesk 和 Ngrok 则建立命令和控制通道。 Akira 利用双重勒索模型,对系统进行加密,并要求以比特币付款。他们威胁要在 Tor 网络上发布数据来向受害者施压。
加密:
Akira 采用 结合 ChaCha20 和 RSA 算法的混合加密方案,针对特定的文件类型和大小。他们删除卷影副本 (VSS) 并留下勒索信以与受害者沟通。
Akira 勒索信 (Avast Threat Labs)
利用工具:
Akira 攻击者使用 AdFind、Advanced IP Scanner、AnyDesk、Mimikatz、RClone、WinRAR、WinSCP 和 PowerShell 等各种工具进行侦察、远程访问、凭证盗窃、渗透和系统操纵。
该作案手法强调了 Akira 从最初访问到产生影响的复杂技术,展示了他们的规避策略、加密方法以及利用各种工具进行恶意活动。如需了解完整详情,请访问 CISA。
MITRE ATT&CK TTP 表
| 技术名称 | ID | 使用 |
| 初始访问 | ||
| 有效账户 | T1078 | Akira 威胁行为者获取并滥用现有帐户的凭据,作为获得初始访问权限的手段。 |
| 利用面向公众的应用程序 | T1190 | Akira 威胁行为者利用面向互联网的系统中的漏洞来访问系统。 |
| 外部远程服务 | T1133 | Akira 威胁参与者使用远程访问服务(例如 RDP/VPN 连接)来获得初始访问权限。 |
| 网络钓鱼:鱼叉式网络钓鱼附件 | T1566.001 | Akira 威胁行为者使用带有恶意附件的网络钓鱼电子邮件来获取网络访问权限。 |
| 网络钓鱼:鱼叉式网络钓鱼链接 | T1566.002 | Akira 威胁行为者使用带有恶意链接的网络钓鱼电子邮件来获取网络访问权限。 |
| 凭证访问 | ||
| 操作系统凭证转储 | T1003 | Akira 威胁参与者使用 Mimikatz 和 LaZagne 等工具来转储凭据。 |
| 操作系统凭证转储:LSASS 内存 | T1003.001 | Akira 威胁参与者尝试访问存储在 LSASS 进程内存中的凭证材料。 |
| 发现 | ||
| 系统网络配置发现 | T1016 | Akira 威胁参与者使用工具扫描系统并识别在远程主机和本地网络基础设施上运行的服务。 |
| 系统信息发现 | T1082 | Akira 威胁参与者使用 PCHunter64 等工具来获取详细的进程和系统信息。 |
| 域信任发现 | T1482 | Akira 威胁参与者使用 net Windows 命令枚举域信息。 |
| 流程发现 | T1057 | Akira 威胁参与者使用任务列表实用程序通过 PowerShell 获取有关正在运行的进程的详细信息。 |
| 权限组发现:本地组 | T1069.001 | Akira 威胁参与者使用 net localgroup /dom 查找本地系统组和权限设置。 |
| 权限组发现:域组 | T1069.002 | Akira 威胁参与者使用 net group /domain 命令尝试查找域级别组和权限设置。 |
| 远程系统发现 | T1018 | Akira 威胁参与者使用 nltest / dclist 按 IP 地址、主机名或网络上的其他逻辑标识符收集其他系统的列表。 |
| 坚持 | ||
| 创建帐户:域帐户 | T1136.002 | Akira 威胁参与者试图通过创建新的域帐户来建立持久性来滥用域控制器的功能。 |
| 防御规避 | ||
| 削弱防御:禁用或修改工具 | T1562.001 | Akira 威胁参与者使用 BYOVD 攻击来禁用防病毒软件。 |
| 命令与控制 | ||
| 远程访问软件 | T1219 | Akira 威胁行为者使用 AnyDesk 等合法桌面支持软件来远程访问受害者系统。 |
| 代理人 | T1090 | Akira 威胁攻击者利用 Ngrok 创建通往服务器的安全隧道,以帮助泄露数据。 |
| 收藏 | ||
| 存档收集的数据:通过实用程序存档 | T1560.001 | Akira 威胁参与者使用 WinRAR 等工具来压缩文件。 |
| 渗漏 | ||
| 通过替代协议进行渗透 | T1048 | Akira 威胁参与者使用 WinSCP 等文件传输工具来传输数据。 |
| 将数据传输至云账户 | T1537 | Akira 威胁参与者使用 CloudZilla 等工具将数据泄露到云帐户并连接到他们控制的泄露服务器。 |
| 通过 Web 服务的渗透:渗透到云存储 | T1567.002 | Akira 威胁参与者利用 RClone 将文件与云存储服务同步以窃取数据。 |
| 影响 | ||
| 数据加密以提高影响力 | T1486 | Akira 威胁参与者对目标系统上的数据进行加密,以中断系统和网络资源的可用性。 |
| 禁止系统恢复 | T1490 | Akira 威胁参与者会删除 Windows 系统上的卷影副本。 |
| 金融盗窃 | T1657 | Akira 威胁行为者使用双重勒索模式来获取经济利益。 |
原文始发于微信公众号(OSINT研习社):暗网简介:Akira Ransomware
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论