Gangue do Ransomware Akira Extorque US$ 42 Milhões e Agora Mira em Servidores Linux
19 de Abril de 2024

Os atores de ameaças por trás do grupo de ransomware Akira extorquiram aproximadamente 42 milhões de dólares em lucros ilícitos após invadir as redes de mais de 250 vítimas até 1 de janeiro de 2024.

"Desde março de 2023, o ransomware Akira afetou uma ampla gama de empresas e entidades de infraestrutura crítica na América do Norte, Europa e Austrália", disseram agências de cibersegurança dos Países Baixos e dos EUA, juntamente com o Centro Europeu de Crimes Cibernéticos (EC3) da Europol, em um alerta conjunto.

Em abril de 2023, seguindo um foco inicial em sistemas Windows, os atores de ameaça do Akira implantaram uma variante Linux visando máquinas virtuais VMware ESXi. O grupo, que pratica a extorsão dupla, foi observado usando uma variante em C++ do locker nos estágios iniciais, antes de mudar para um código baseado em Rust a partir de agosto de 2023.

É importante notar que o ator de e-crime é completamente diferente da família de ransomware Akira que estava ativa em 2017.

O acesso inicial às redes-alvo é facilitado por meio da exploração de falhas conhecidas em aparelhos da Cisco (por ex., CVE-2020-3259 e CVE-2023-20269 ).

Vetores alternativos envolvem o uso de Remote Desktop Protocol (RDP), spear-phishing, credenciais válidas e serviços de Virtual Private Network (VPN) que carecem de proteções de Multi-Factor Authentication (MFA).

Os atores do Akira também são conhecidos por alavancar diversas maneiras de estabelecer persistência, criando uma nova conta de domínio no sistema comprometido, bem como evadir detecção ao abusar do driver Zemana AntiMalware para terminar processos relacionados a antivírus via o que é chamado de ataque Bring Your Own Vulnerable Driver (BYOVD).

Para auxiliar na escalada de privilégios, o adversário conta com ferramentas de scraping de credenciais como Mimikatz e LaZagne, enquanto o Windows RDP é utilizado para movimentação lateral dentro da rede da vítima.

A exfiltração de dados é realizada através do FileZilla, WinRAR, WinSCP e RClone.

"O ransomware Akira criptografa sistemas alvo usando um algoritmo de criptografia híbrido que combina Chacha20 e RSA", disse a Trend Micro em uma análise do ransomware publicada em outubro de 2023.

Além disso, o binário do ransomware Akira, como a maioria dos binários modernos de ransomware, possui um recurso que permite inibir a recuperação do sistema ao deletar cópias de sombra do sistema afetado.

Dados da blockchain e código-fonte sugerem que o grupo do ransomware Akira provavelmente tem afiliação com o agora extinto gangue de ransomware Conti.

Um decodificador para o Akira foi lançado pela Avast em julho passado, mas é muito provável que as falhas desde então tenham sido corrigidas.

A mutação do Akira para visar ambientes empresariais Linux também segue movimentos similares de outras famílias estabelecidas de ransomware, como LockBit, Cl0p, Royal, Monti e RTM Locker.

Lutas do LockBit para Voltar A revelação vem enquanto a Trend Micro revelou que a abrangente derrubada pela aplicação da lei do prolífico gangue LockBit em fevereiro passado teve um impacto operacional e reputacional significativo na capacidade do grupo de se recuperar, levando-o a postar vítimas antigas e falsas em seu novo site de vazamento de dados.

"LockBit era uma das cepas de Ransomware as a Service (RaaS) mais prolíficas e amplamente usadas em operação, com potencialmente centenas de afiliados, incluindo muitos associados com outras cepas proeminentes", observou a Chainalysis em fevereiro.

A firma de análise de blockchain disse que descobriu trilhas de criptomoeda conectando um administrador do LockBit a um jornalista baseado em Sevastopol conhecido como Coronel Cassad, que tem um histórico de solicitar doações para operações de grupos de milícia russa nas jurisdições sancionadas de Donetsk e Luhansk após o início da guerra Russo-Ucraniana em 2022.

Vale ressaltar que Cisco Talos, em janeiro de 2022, vinculou Coronel Cassad (também conhecido como Boris Rozhin) a uma campanha de desinformação anti-Ucrânia orquestrada pelo grupo patrocinado pelo estado russo conhecido como APT28.

"Após a operação, LockBitSupp [o suposto líder do LockBit] parece estar tentando inflar a contagem aparente de vítimas, enquanto também se concentra em postar vítimas de países cujas agências de aplicação da lei participaram da interrupção", disse a Trend Micro em um mergulho recente.

Isso é possivelmente uma tentativa de reforçar a narrativa de que voltaria mais forte e miraria nos responsáveis por sua interrupção. Em uma entrevista com Recorded Future News no mês passado, LockBitSupp reconheceu o declínio de lucros a curto prazo, mas prometeu melhorar suas medidas de segurança e "trabalhar enquanto meu coração bater."

"Reputação e confiança são chaves para atrair afiliados e, quando estas são perdidas, é mais difícil fazer as pessoas retornarem. A Operação Cronos conseguiu atacar um elemento de seu negócio que era mais importante: sua marca", afirmou a Trend Micro.

Agenda Retorna com uma Versão Rust Atualizada O desenvolvimento também segue o uso do grupo ransomware Agenda (também conhecido como Qilin e Water Galura) de uma variante Rust atualizada para infectar servidores VMWare vCenter e ESXi por meio de ferramentas Remote Monitoring and Management (RMM) e Cobalt Strike.

"A capacidade do ransomware Agenda de se espalhar para a infraestrutura de máquina virtual mostra que seus operadores também estão se expandindo para novos alvos e sistemas", disse a empresa de cibersegurança.

Mesmo enquanto um novo grupo de atores de ransomware continua a energizar a paisagem de ameaças, também está se tornando mais claro que o "ransomware barato e rudimentar" vendido no submundo do cibercrime está sendo usado em ataques reais, permitindo que atores de ameaças individuais de menor escalão gerem lucro significativo sem ter que fazer parte de um grupo bem organizado.

Interessantemente, a maioria dessas variedades está disponível por um preço único, a partir de tão baixo quanto 20 dólares por uma única construção, enquanto alguns outros, como HardShield e RansomTuga, são oferecidos sem custo extra.

"Longe da infraestrutura complexa do ransomware moderno, o ransomware do tipo arma de fogo barata' permite que criminosos entrem na ação de forma barata, fácil e independente", disse a Sophos, descrevendo-o como um "fenômeno relativamente novo" que ainda diminui mais o custo de entrada.

Eles podem visar pequenas empresas e indivíduos, que provavelmente não têm recursos para se defender ou responder efetivamente a incidentes, sem dar parte a ninguém.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...