Akira 勒索软件肆虐,250 多家机构惨遭毒手
据美国联邦调查局(FBI)和其他当局称,在不到一年的时间里,以多重勒索策略著称的「Akira」勒索软件团伙已从250多个受影响的组织中获得了约4200万美元的勒索软件收益。
这个数据截至2024年1月1日,而该团伙去年3月才首次被发现的。显而易见,Akira已经迅速成为最有成效的网络犯罪团伙之一。
对此,包括FBI、网络安全和基础设施安全局(CISA)、欧洲刑警组织欧洲网络犯罪中心等在内的网络机构发布了一份联合网络安全建议,帮助网络防御者更好地防范Akira的攻击。
FBI和网络安全研究人员观察到,Akira威胁行为者在未配置多因素身份验证(MFA)的情况下,通过虚拟专用网络(VPN)服务获得对机构的初始访问权限。黑客们大多使用已知的思科漏洞,但他们也通过利用远程桌面协议、鱼叉式网络钓鱼和滥用有效凭证来获得初始访问权限。
文件指出,自2023年3月以来,Akira勒索软件已对北美、欧洲和澳大利亚的众多企业和关键基础设施实体造成了影响。2023年4月,继最初关注Windows系统之后,Akira威胁行为者又部署了针对VMware ESXi虚拟机的Linux变种。
机构解释称,Akira勒索软件变种的早期版本是用C++编写的,加密文件的扩展名为.akira。然而,自2023年8月起,Akira转向使用基于Rust的代码部署特定于Windowts的「Megazord」勒索软件。加密的文件扩展名改为.powerranges,这种变化可能是由于Avast发布了一个解密器。
网络安全研究人员观察到,当Akira威胁行为者准备横向移动时,他们通常会禁用安全软件以避免被发现,通常是使用PowerTool来利用Zemana AntiMalware驱动程序并终止杀毒软件相关进程。
Akira最大的受害者包括日本汽车巨头日产汽车公司(该公司向10万人通报了网络泄露事件)、斯坦福大学(据称该校丢失了430GB的内部数据)和得克萨斯州的一个城市纳索贝。
该勒索软件团伙的一贯作风是要求受害者支付20万至400万美元不等的赎金,如果不支付赎金,就在网上公布窃取的数据。
当局鼓励各机构实施CSA中缓解措施部分的建议,以降低勒索软件事件发生的可能性和影响。建议包括:
●「实施恢复计划」,维护和保留多个数据副本
●使用强密码、多因素身份验证、保持软件和固件更新、网络分段、网络流量过滤等
