0
0
O ransomware Arika continuou a evoluir desde que emergiu como uma ameaça em março, expandindo seu alcance de inicialmente direcionado a sistemas Windows para incluir servidores Linux e empregando uma gama crescente de táticas, técnicas e procedimentos (TTPs).
Um relatório detalhado sobre Akira da LogPoint analisa o ransomware “altamente sofisticado”, que criptografa os arquivos das vítimas, exclui cópias de sombra e exige pagamento de resgate para recuperação de dados.
A cadeia de infecção visa ativamente VPNs Cisco ASA sem autenticação multifator para explorar a vulnerabilidade CVE-2023-20269 como ponto de entrada.
No início de Setembro, o grupo atingiu com sucesso 110 vítimas, concentrando-se em alvos nos EUA e no Reino Unido.
A empresa britânica de garantia de qualidade Intertek foi uma vítima recente de destaque; o grupo também tem como alvo organizações de manufatura, serviços profissionais e automotivas.
De acordo com um relatório GRI recente da GuidePoint Security , as organizações educacionais foram alvo desproporcional de Akira, representando oito das 36 vítimas observadas.
A campanha de ransomware envolve várias amostras de malware que executam várias etapas, incluindo exclusão de cópia de sombra, pesquisa de arquivos, enumeração e criptografia, quando executadas.
Akira usa um método de dupla extorsão, roubando dados pessoais, criptografando-os e extorquindo dinheiro das vítimas. Caso se recusem a pagar, o grupo ameaça divulgar os dados na Dark Web.
Ao obter acesso, o grupo usa ferramentas que incluem aplicativos de desktop remoto AnyDesk e RustDesk e a ferramenta de criptografia e arquivamento WinRAR.
A ferramenta avançada de informações do sistema e gerenciador de tarefas PC Hunter ajuda o grupo a se mover lateralmente pelos sistemas violados, junto com o wmiexc, de acordo com o relatório.
O grupo também pode desabilitar o monitoramento em tempo real para evitar a detecção pelo Windows Defender, e as cópias de sombra são excluídas por meio do PowerShell.
Os arquivos de notas de resgate são colocados em vários arquivos do sistema da vítima, que contêm instruções de pagamento e assistência de descriptografia.
Anish Bogati, engenheiro de pesquisa de segurança da Logpoint, diz que o uso do binário interno do Windows (também conhecido como LOLBAS) por Akira para execução, recuperação de credenciais, evasão de defesa, facilitação de movimento lateral e exclusão de backups e cópias de sombra é o TTP mais preocupante do grupo.
“Os binários internos do Windows normalmente não serão monitorados pela proteção de endpoint e já estão presentes no sistema para que os adversários não precisem baixá-los no sistema”, explica ele.
Bogati acrescenta que a capacidade de criar uma configuração de tarefa (localização de arquivos ou pastas a serem criptografados, determinando a porcentagem de dados a serem criptografados) não pode ser esquecida, pois define automaticamente a configuração sem intervenção manual.
Implementando Contramedidas
“A evolução de múltiplas variantes de malware e suas capacidades sugerem que os agentes da ameaça se adaptam rapidamente de acordo com as tendências”, observa Bogati. “O grupo Akira é bem experiente e versado em capacidades de defesa, pois abusa de binários internos do Windows, API e software legítimo.”
Ele recomenda que as organizações implementem MFA e limitem as permissões para evitar a força bruta de credenciais, bem como mantenham software e sistemas atualizados para se manterem à frente de adversários que exploram constantemente vulnerabilidades recém-descobertas.
A auditoria de contas privilegiadas e a formação regular de sensibilização para a segurança estavam entre as outras recomendações contidas no relatório.
O relatório também aconselhou a segmentação da rede para isolar sistemas críticos e dados sensíveis, reduzindo o risco de violações e limitando o movimento lateral dos atacantes.
Bogati diz que as organizações também devem considerar o bloqueio de túneis não autorizados e ferramentas de acesso remoto, como Cloudflare ZeroTrust, ZeroTier e TailScale, que ele explica serem frequentemente usados por adversários para acessar secretamente redes comprometidas.
Cenário de ransomware marcado por novos atores
A gangue, batizada em homenagem a um clássico cult de anime japonês de 1988, apresentando um motociclista psicopata, emergiu como uma força cibercriminosa a ser reconhecida em abril deste ano e é conhecida principalmente por atacar sistemas Windows .
A mudança do Akira para ambientes corporativos Linux segue um movimento de outros ransomware mais estabelecidos – como grupos de ransomware Cl0p , Royal e IceFire – para fazer o mesmo.
Akira faz parte de uma nova safra de atores de ransomware que energizou o cenário de ameaças, que foi marcado pelo surgimento de grupos menores e novas táticas, enquanto gangues estabelecidas como a LockBit veem menos vítimas.
Os grupos de ransomware mais recentes incluem 8Base, Malas, Rancoz e BlackSuit, cada um com características e alvos distintos.
“Ao observar o número de vítimas, Akira provavelmente se tornará um dos atores de ameaças mais ativos”, alerta Bogati. “Eles estão desenvolvendo múltiplas variantes de seu malware com vários recursos e não perderão nenhuma oportunidade de explorar sistemas não corrigidos”.
FONTE: DARKREADING