Akira Ransomware sofre mutação para atingir sistemas Linux

Views: 214
0 0
Read Time:4 Minute, 9 Second

O ransomware Arika continuou a evoluir desde que emergiu como uma ameaça em março, expandindo seu alcance de inicialmente direcionado a sistemas Windows para incluir servidores Linux e empregando uma gama crescente de táticas, técnicas e procedimentos (TTPs).

Um relatório detalhado  sobre Akira da LogPoint analisa o ransomware “altamente sofisticado”, que criptografa os arquivos das vítimas, exclui cópias de sombra e exige pagamento de resgate para recuperação de dados. 

A cadeia de infecção visa ativamente VPNs Cisco ASA sem autenticação multifator para explorar a  vulnerabilidade CVE-2023-20269  como ponto de entrada.

No início de Setembro, o grupo atingiu com sucesso 110 vítimas, concentrando-se em alvos nos EUA e no Reino Unido.

A empresa britânica de garantia de qualidade Intertek foi uma vítima recente de destaque; o grupo também tem como alvo organizações de manufatura, serviços profissionais e automotivas. 

De acordo com um  relatório GRI recente da GuidePoint Security , as organizações educacionais foram alvo desproporcional de Akira, representando oito das 36 vítimas observadas.

A campanha de ransomware envolve várias amostras de malware que executam várias etapas, incluindo exclusão de cópia de sombra, pesquisa de arquivos, enumeração e criptografia, quando executadas.

Akira usa um método de dupla extorsão, roubando dados pessoais, criptografando-os e extorquindo dinheiro das vítimas. Caso se recusem a pagar, o grupo ameaça divulgar os dados na Dark Web.

Ao obter acesso, o grupo usa ferramentas que incluem aplicativos de desktop remoto AnyDesk e RustDesk e a ferramenta de criptografia e arquivamento WinRAR.

A ferramenta avançada de informações do sistema e gerenciador de tarefas PC Hunter ajuda o grupo a se mover lateralmente pelos sistemas violados, junto com o wmiexc, de acordo com o relatório.

O grupo também pode desabilitar o monitoramento em tempo real para evitar a detecção pelo Windows Defender, e as cópias de sombra são excluídas por meio do PowerShell.  

Os arquivos de notas de resgate são colocados em vários arquivos do sistema da vítima, que contêm instruções de pagamento e assistência de descriptografia.  

Anish Bogati, engenheiro de pesquisa de segurança da Logpoint, diz que o uso do binário interno do Windows (também conhecido como LOLBAS) por Akira para execução, recuperação de credenciais, evasão de defesa, facilitação de movimento lateral e exclusão de backups e cópias de sombra é o TTP mais preocupante do grupo.

“Os binários internos do Windows normalmente não serão monitorados pela proteção de endpoint e já estão presentes no sistema para que os adversários não precisem baixá-los no sistema”, explica ele.

Bogati acrescenta que a capacidade de criar uma configuração de tarefa (localização de arquivos ou pastas a serem criptografados, determinando a porcentagem de dados a serem criptografados) não pode ser esquecida, pois define automaticamente a configuração sem intervenção manual.

Implementando Contramedidas

“A evolução de múltiplas variantes de malware e suas capacidades sugerem que os agentes da ameaça se adaptam rapidamente de acordo com as tendências”, observa Bogati. “O grupo Akira é bem experiente e versado em capacidades de defesa, pois abusa de binários internos do Windows, API e software legítimo.”

Ele recomenda que as organizações implementem MFA e limitem as permissões para evitar a força bruta de credenciais, bem como mantenham software e sistemas atualizados para se manterem à frente de adversários que exploram constantemente vulnerabilidades recém-descobertas. 

A auditoria de contas privilegiadas e a formação regular de sensibilização para a segurança estavam entre as outras recomendações contidas no relatório. 

O relatório também aconselhou a segmentação da rede para isolar sistemas críticos e dados sensíveis, reduzindo o risco de violações e limitando o movimento lateral dos atacantes.

Bogati diz que as organizações também devem considerar o bloqueio de túneis não autorizados e ferramentas de acesso remoto, como Cloudflare ZeroTrust, ZeroTier e TailScale, que ele explica serem frequentemente usados ​​por adversários para acessar secretamente redes comprometidas.

Cenário de ransomware marcado por novos atores

A gangue, batizada em homenagem a um clássico cult de anime japonês de 1988, apresentando um motociclista psicopata, emergiu como uma força cibercriminosa a ser reconhecida em abril deste ano e é  conhecida principalmente por atacar sistemas Windows .

A mudança do Akira para ambientes corporativos Linux segue um movimento de outros ransomware mais estabelecidos – como   grupos de ransomware Cl0p ,  Royal e  IceFire – para fazer o mesmo.

Akira faz parte de uma nova safra de atores de ransomware que energizou o cenário de ameaças, que foi marcado pelo surgimento de grupos menores e novas táticas, enquanto gangues estabelecidas como a LockBit veem menos vítimas.

Os grupos de ransomware mais recentes incluem 8Base, Malas, Rancoz e BlackSuit, cada um com características e alvos distintos.

“Ao observar o número de vítimas, Akira provavelmente se tornará um dos atores de ameaças mais ativos”, alerta Bogati. “Eles estão desenvolvendo múltiplas variantes de seu malware com vários recursos e não perderão nenhuma oportunidade de explorar sistemas não corrigidos”.

FONTE: DARKREADING

POSTS RELACIONADOS