Akira Ransomware: FBI i Europol ostrzegają o ponad 42 milionach dolarów straty

Wybitne agencje globalne wskazały nowo powstałą grupę zajmującą się oprogramowaniem ransomware o nazwie Akira, istniejącą zaledwie od roku, za jej powszechne włamania cybernetyczne, które włamywały się do ponad 250 organizacji na całym świecie i zgarniały prawie 42 miliony dolarów z tytułu okupu.

Dochodzenia prowadzone przez Federalne Biuro Śledcze Stanów Zjednoczonych (FBI) ujawniły, że od marca 2023 r. Akira aktywnie atakuje firmy i infrastrukturę krytyczną w Ameryce Północnej, Europie i Australii. Krajobraz zagrożeń Akiry, początkowo skupiający się na systemach Windows, rozszerzył się wraz z odkryciem jego wariantu dla Linuksa przez FBI.

Kryzys oprogramowania ransomware Akira

W odpowiedzi na to narastające zagrożenie FBI, Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3) Europolu oraz holenderskie Krajowe Centrum ds. Bezpieczeństwa Cybernetycznego (NCSC-NL) wspólnie wydane doradztwo w zakresie cyberbezpieczeństwa (CSA) w celu podniesienia świadomości i ograniczenia zagrożeń stwarzanych przez Akirę w przyszłości.

„Wczesne wersje wariantu oprogramowania ransomware Akira zostały napisane w języku C++ i zaszyfrowane pliki z rozszerzeniem .akira; jednak od sierpnia 2023 r. w niektórych atakach Akiry rozpoczęło się wdrażanie Megazorda przy użyciu kodu opartego na Rust, który szyfruje pliki z rozszerzeniem .powerranges. Ugrupowania zagrażające Akira w dalszym ciągu używają zamiennie zarówno Megazorda, jak i Akiry, w tym Akira_v2 (zidentyfikowanego w wyniku zaufanych dochodzeń prowadzonych przez strony trzecie).

Akira niedawno obrał za cel ataki oprogramowania ransomware Nissan Oceania i Uniwersytet Stanforda. W marcu Nissan Oceania zgłosił naruszenie bezpieczeństwa danych, które dotknęło 100,000 27,000 osób, a Uniwersytet Stanforda ujawnił w zeszłym miesiącu problem bezpieczeństwa, który dotknął XNUMX XNUMX osób, przy czym oba zdarzenia były powiązane z Akirą.

Wiadomo, że ugrupowania zagrażające stosują taktykę podwójnego wymuszenia, szyfrując systemy po pobraniu danych. Żądanie okupu zapewnia każdej firmie unikalny kod i adres URL z rozszerzeniem .onion, umożliwiające skontaktowanie się z nimi. W zaatakowanych sieciach nie proszą o okup ani szczegóły płatności; udostępniają je tylko wtedy, gdy skontaktuje się z ofiarą.

Płatności dokonywane są w Bitcoinach na podane przez nich adresy. Z oficjalnego oświadczenia FBI wynika, że ​​podmioty te nawet grożą opublikowaniem skradzionych danych w sieci Tor, a czasami kontaktują się z dotkniętymi firmami.

Powrót oprogramowania ransomware

Ransomware stworzyło powrót w 2023 r., a płatności przekroczą 1 miliard dolarów, co będzie najwyższym wynikiem w historii.

Scentralizowane giełdy i miksery stały się głównymi miejscami prania nielegalnych środków, dominując w kanałach transakcyjnych. Mimo to w ciągu roku na popularności zyskały nowsze usługi pralnicze, takie jak mosty i wymienniki natychmiastowe.