Akira
Akira Ransomware Group, "retro estetiği" ve öncelikle VPN hizmetlerindeki açıklardan ve bilinen Cisco güvenlik açıklarından yararlanmasıyla biliniyor.
Akira fidye yazılımının kökeni
İlk olarak Mart 2023'te gözlemlenen Akira fidye yazılımı grubu, dünya çapında çeşitli sektörleri hedef alan sofistike fidye yazılımı saldırılarıyla biliniyor. CONTI'nin faaliyetlerini durdurmasının ardından birkaç CONTI üyesi Royal, BlackBasta ve potansiyel olarak Akira gibi bağımsız kampanyalara geçtiğinden, eski CONTI fidye yazılımı grubuyla bağları hakkında spekülasyonlar var. Bu grup bir Hizmet Olarak Fidye Yazılımı (RaaS) modeli altında çalışmakta ve bağlı kuruluşların fidye ödemelerinden bir pay karşılığında fidye yazılımını kullanmalarını sağlamaktadır.
Raporlar, Akira iştiraklerinin Snatch ve BlackByte gibi diğer fidye yazılımı operasyonlarıyla da çalıştığını göstermektedir; Snatch fidye yazılımıyla bağlantıları olan bir Akira operatörü tarafından kullanılan araçların açık bir dizini bunu kanıtlamaktadır. Akira fidye yazılımının ilk versiyonu C++ dilinde yazılmış ve dosyalara '.akira' uzantısı ekleyerek kısmen Conti V2 kaynak koduna dayanan 'akira_readme.txt ' adlı bir fidye notu oluşturmuştur. 29 Haziran 2023'te, şifreleme mekanizmasındaki bir kusur nedeniyle Avast tarafından bu sürüm için bir şifre çözücü yayınlandığı bildirildi.
Daha sonra, 2 Temmuz 2023'te, şifre çözme açığını düzelten yeni bir sürüm yayınlandı. Bu sürümün Rust dilinde yazıldığı, 'megazord.exe' olarak adlandırıldığı ve şifrelenmiş dosyaların uzantısını '.powerranges' olarak değiştirdiği söyleniyor. Akira'nın ilk erişim vektörlerinin çoğu, tek faktörlü kimlik doğrulama kullanan Cisco VPN cihazlarında kaba kuvvet girişimlerini içeriyor ve bu da onları yetkisiz erişime karşı savunmasız hale getiriyor. Ayrıca, grubun hedef sistemlere ilk erişim sağlamak içinbilinen güvenlik açıklarından (özellikle CVE-2019-6693 ve CVE-2022-40684) yararlandığı tespit edilmiştir.
Akira'nın kökeni belirsizliğini korumaktadır, ancak faaliyetleri yüksek düzeyde teknik uzmanlık ve organizasyona işaret etmektedir.
Haritacılık: OCD
Hedefler
Akira fidye yazılımının hedefleri
Akira'nın hedef aldığı ülkeler
Akira, Kuzey Amerika, Avrupa ve Asya'da doğrulanan saldırılarla küresel bir erişim göstermiştir. Ayrım gözetmeyen hedefleme biçimleri, coğrafi konumdan bağımsız olarak savunmasız sistemlerden yararlanmaya odaklandıklarını göstermektedir.
Görüntü kaynağı: Ransomware.live
Akira tarafından hedeflenen sektörler
Akira fidye yazılımı, sağlık hizmetleri, finansal hizmetler, eğitim ve üretim dahil olmak üzere çok çeşitli sektörleri hedef almıştır. Saldırıları, kritik hizmetleri ve operasyonları kesintiye uğratarak etkilenen kuruluşlarda önemli mali ve itibar kaybına neden oldu.
Ekran görüntüsü kaynağı: Cyble
Akira tarafından hedeflenen sektörler
Akira fidye yazılımı, sağlık hizmetleri, finansal hizmetler, eğitim ve üretim dahil olmak üzere çok çeşitli sektörleri hedef almıştır. Saldırıları, kritik hizmetleri ve operasyonları kesintiye uğratarak etkilenen kuruluşlarda önemli mali ve itibar kaybına neden oldu.
Ekran görüntüsü kaynağı: Cyble
Akira'nın kurbanları
Akira tarafından 341'den fazla kurban hedef alınmıştır. Önemli kurbanlar arasında büyük sağlık kurumları, önde gelen üniversiteler ve önde gelen finans firmaları bulunmaktadır. Bu saldırılar genellikle hassas verilerin dışarı sızmasıyla sonuçlanıyor ve bu veriler daha sonra kurbanlara fidye ödemeleri için baskı yapmak amacıyla kullanılıyor.
Kaynak: ransomware.live
Saldırı Yöntemi
Akira'nın Saldırı Yöntemi
Akira genellikle phishing e-postaları, kamuya açık uygulamalardaki güvenlik açıklarından yararlanma veya güvenliği ihlal edilmiş kimlik bilgilerinden yararlanma yoluyla ilk erişimi elde eder. Genellikle kurumlardaki belirli kişileri hedef almak için mızrakphishing kullanırlar.
Akira, ağa girdikten sonra ayrıcalıkları artırmak için bilinen güvenlik açıklarından yararlanmak ve daha üst düzey erişim elde etmek için meşru yönetim araçlarını kullanmak gibi çeşitli teknikler kullanır.
Tespit edilmekten kaçınmak için Akira, güvenlik yazılımını devre dışı bırakmak, gizleme kullanmak ve izlerini örtmek için günlükleri silmek gibi sofistike kaçınma teknikleri kullanır.
Akira kimlik bilgilerini keylogging, credential dumping ve Mimikatz gibi araçları kullanarak virüslü sistemlerden parolaları toplar.
Grup, ağın haritasını çıkarmak, kritik varlıkları belirlemek ve kuruluşun yapısını anlamak için kapsamlı bir keşif gerçekleştirir. Bu amaçla PowerShell ve özel komut dosyaları gibi araçlar kullanırlar.
Akira, tehlikeye atılmış kimlik bilgilerini kullanarak, güven ilişkilerinden yararlanarak ve yayılmak için RDP ve SMB gibi araçları kullanarak ağ boyunca yanal olarak hareket eder.
Veri toplama, hassas bilgilerin, fikri mülkiyetin ve kişisel verilerin toplanmasını içerir ve bunlar daha sonra gasp amacıyla dışarı sızdırılır.
Fidye yazılımı yükü çalıştırılarak kurbanın sistemlerindeki dosyalar şifrelenir. Akira, şifre çözme anahtarı olmadan dosyaların kurtarılamamasını sağlamak için güçlü şifreleme algoritmaları kullanır.
Akira, şifrelemeden önce hassas verileri kendi kontrolü altındaki harici sunuculara sızdırır ve tespit edilmekten kaçınmak için şifreli iletişim kanallarından yararlanır.
Etki aşaması, şifrelemenin sonlandırılmasını ve şifre çözme anahtarı karşılığında ödeme talep eden fidye notunun teslim edilmesini ve sızan verilerin silineceği sözünü içerir.
İlk Erişim
Akira genellikle phishing e-postaları, kamuya açık uygulamalardaki güvenlik açıklarından yararlanma veya güvenliği ihlal edilmiş kimlik bilgilerinden yararlanma yoluyla ilk erişimi elde eder. Genellikle kurumlardaki belirli kişileri hedef almak için mızrakphishing kullanırlar.
Ayrıcalık Yükseltme
Akira, ağa girdikten sonra ayrıcalıkları artırmak için bilinen güvenlik açıklarından yararlanmak ve daha üst düzey erişim elde etmek için meşru yönetim araçlarını kullanmak gibi çeşitli teknikler kullanır.
Savunma Kaçırma
Tespit edilmekten kaçınmak için Akira, güvenlik yazılımını devre dışı bırakmak, gizleme kullanmak ve izlerini örtmek için günlükleri silmek gibi sofistike kaçınma teknikleri kullanır.
Kimlik Bilgileri Erişimi
Akira kimlik bilgilerini keylogging, credential dumping ve Mimikatz gibi araçları kullanarak virüslü sistemlerden parolaları toplar.
Keşif
Grup, ağın haritasını çıkarmak, kritik varlıkları belirlemek ve kuruluşun yapısını anlamak için kapsamlı bir keşif gerçekleştirir. Bu amaçla PowerShell ve özel komut dosyaları gibi araçlar kullanırlar.
Yanal Hareket
Akira, tehlikeye atılmış kimlik bilgilerini kullanarak, güven ilişkilerinden yararlanarak ve yayılmak için RDP ve SMB gibi araçları kullanarak ağ boyunca yanal olarak hareket eder.
Koleksiyon
Veri toplama, hassas bilgilerin, fikri mülkiyetin ve kişisel verilerin toplanmasını içerir ve bunlar daha sonra gasp amacıyla dışarı sızdırılır.
Yürütme
Fidye yazılımı yükü çalıştırılarak kurbanın sistemlerindeki dosyalar şifrelenir. Akira, şifre çözme anahtarı olmadan dosyaların kurtarılamamasını sağlamak için güçlü şifreleme algoritmaları kullanır.
Sızma
Akira, şifrelemeden önce hassas verileri kendi kontrolü altındaki harici sunuculara sızdırır ve tespit edilmekten kaçınmak için şifreli iletişim kanallarından yararlanır.
Etki
Etki aşaması, şifrelemenin sonlandırılmasını ve şifre çözme anahtarı karşılığında ödeme talep eden fidye notunun teslim edilmesini ve sızan verilerin silineceği sözünü içerir.
MITRE ATT&CK Haritalama
Akira tarafından kullanılan TTP'ler
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1136
Create Account
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
T1219
Remote Access Software
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Platform Tespitleri
Akira ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
Akira fidye yazılımı nedir?
Akira fidye yazılımı, siber suçlular tarafından dosyaları şifrelemek ve kurbanları fidye ödemeleri için zorlamak için kullanılan sofistike bir malware .
Akira ağlara nasıl erişim sağlıyor?
Akira ilk erişimi phishing e-postaları, güvenlik açıklarından yararlanma ve ele geçirilmiş kimlik bilgilerini kullanma yoluyla elde eder.
Akira hangi sektörleri hedefliyor?
Akira, sağlık hizmetleri, finansal hizmetler, eğitim ve imalat dahil olmak üzere çok çeşitli sektörleri hedeflemektedir.
Akira tespit edilmekten kaçmak için hangi teknikleri kullanıyor?
Akira, tespit edilmekten kaçınmak için güvenlik yazılımını devre dışı bırakma, gizleme ve günlük silme gibi teknikler kullanır.
Akira bir ağ içinde ayrıcalıkları nasıl yükseltir?
Akira bilinen güvenlik açıklarından yararlanır ve üst düzey erişim elde etmek için meşru yönetim araçlarını kullanır.
Akira ne tür verileri dışarı sızdırır?
Akira, dosyaları şifrelemeden önce hassas bilgileri, fikri mülkiyeti ve kişisel verileri dışarı çıkarır.
Akira dosyaları nasıl şifreler?
Akira, şifre çözme anahtarı olmadan dosyaların kurtarılamamasını sağlamak için güçlü şifreleme algoritmaları kullanır.
Akira fidye yazılımı saldırısının etkisi nedir?
Bu etki, veri şifreleme, hizmet kesintisi ve fidye ödemeleri ve kurtarma çabaları nedeniyle mali kaybı içerir.
Akira fidye yazılımı tespit edilebilir ve durdurulabilir mi?
Tespit ve önleme, genişletilmiş tespit ve yanıt (XDR) çözümleri, düzenli yazılım güncellemeleri ve çalışan eğitimi dahil olmak üzere sağlam güvenlik önlemleri gerektirir.
Akira fidye yazılımından etkilenen kuruluşlar ne yapmalıdır?
Kuruluşlar etkilenen sistemlerin bağlantısını kesmeli, olayı yetkililere bildirmeli ve hasarı azaltmak ve verileri kurtarmak için profesyonel siber güvenlik yardımı almalıdır.