Les cybercriminels derrière le ransomware Akira ont gagné plus de 42 millions de dollars en un an

Les cybercriminels responsables du ransomware Akira ont amassé une somme colossale de plus de 42 millions de dollars en seulement un an, selon les rapports de la CISA, du FBI, d'Europol et du Centre national de cybersécurité des Pays-Bas (NCSC-NL). Leurs activités néfastes ont victimisé plus de 250 entités dans le monde, couvrant un large éventail de secteurs, notamment les services, l’industrie manufacturière, l’éducation, la construction, les infrastructures critiques, la finance, la santé et les secteurs juridiques.

Initialement cantonné au ciblage des systèmes Windows, le ransomware Akira a étendu sa portée pour infecter les machines virtuelles VMware ESXi depuis avril 2023. De plus, son arsenal a été renforcé avec l'intégration de Megazord à partir d'août 2023, comme le soulignent la CISA, le FBI, Europol et NCSC-NL dans un récent avis.

Les opérateurs d'Akira Ransomware ont démontré un mode opératoire sophistiqué, exploitant les vulnérabilités des services VPN dépourvus d'authentification multifacteur, exploitant notamment les faiblesses connues des produits Cisco comme CVE-2020-3259 et CVE-2023-20269. Ils ont également eu recours à des tactiques telles que l'infiltration du protocole de bureau à distance (RDP), des campagnes de spear phishing et l'utilisation d'informations d'identification valides pour infiltrer les environnements des victimes.

Après avoir obtenu un premier accès, ces acteurs malveillants appliquent des stratégies de persistance méticuleuses, créant de nouveaux comptes de domaine, extrayant des informations d'identification et effectuant une reconnaissance approfondie du réseau et des contrôleurs de domaine. L'avis souligne une évolution notable dans les tactiques d'Akira, avec le déploiement de deux variantes distinctes de ransomware contre différentes architectures système au cours d'un seul événement de violation.

Dans le but d'échapper à la détection et de faciliter les mouvements latéraux, les opérateurs d'Akira désactivent systématiquement les logiciels de sécurité. Leur boîte à outils comprend une gamme d'applications logicielles pour l'exfiltration de données et l'établissement d'une communication de commande et de contrôle, notamment FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok et RustDesk.

Semblable à d'autres syndicats de ransomwares , Akira adopte un double modèle d'extorsion, exfiltrant les données des victimes avant le cryptage et exigeant un paiement en Bitcoin via des canaux de communication basés sur Tor. Les attaquants intensifient encore la pression en menaçant de divulguer publiquement les données exfiltrées sur le réseau Tor et, dans certains cas, en contactant directement les organisations victimes.

En réponse à ce paysage de menaces croissant, l'avis fournit aux défenseurs des réseaux des indicateurs de compromission (IoC) associés à Akira, ainsi que des stratégies d'atténuation recommandées pour renforcer leurs défenses contre de telles attaques.