Détection des Ransomwares Akira : l’avis conjoint de cybersécurité (CSA) AA24-109A met en lumière les attaques visant les entreprises et les infrastructures critiques en Amérique du Nord, en Europe et en Australie
Table des matières :
Le FBI et la CISA, en collaboration avec les agences de cybersécurité américaines et internationales leader, ont récemment publié un avis conjoint AA24-109A avertissant les défenseurs d’une montée des cyberattaques exploitant le ransomware Akira. Selon les enquêtes, des campagnes malveillantes liées ont touché plus de 250 organisations et revendiqué environ 42 millions de dollars en paiements de rançon.
Détecter les Attaques par Ransomware Akira
L’escalade des menaces de ransomware défie continuellement les défenseurs du cyberespace avec de nouvelles méthodes d’attaque et des astuces malveillantes, façonnant la demande pour des outils avancés de détection de menaces et de chasse aux menaces pour résister de manière proactive aux intrusions possibles. La plateforme de SOC Prime équipe les équipes de sécurité avec une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces et la validation de l’empilage de détection pour renforcer la défense cyber et s’assurer qu’aucune cyberattaque ne passe inaperçue.
Avec l’essor du ransomware Akira, les professionnels de la sécurité pourraient explorer une pile de règles Sigma spécialement sélectionnée pour accélérer l’enquête de chasse aux menaces. Toutes les règles sont compatibles avec 28 technologies SIEM, EDR, et Data Lake et sont mappées au cadre MITRE ATT&CK®. De plus, chaque algorithme de détection est enrichi avec un renseignement sur les menaces pertinent et des métadonnées étendues pour fournir un contexte additionnel. Il suffit d’appuyer sur le Explorer les Détections bouton ci-dessous et plongez immédiatement dans une liste de contenu dédiée.
En outre, les professionnels de la sécurité pourraient rechercher des détections pertinentes directement dans la plateforme SOC Prime en utilisant les tags “AA24-109A” et “Ransomware Akira”.
Analyse des Attaques par Ransomware Akira
Le 18 avril 2024, le FBI, la CISA et des partenaires mondiaux ont émis un conseil de cybersécurité collaboratif (CSA) pour informer et distribuer des IOC connus et des TTP liés à l’augmentation des attaques par les opérateurs du ransomware Akira. Ces informations sont issues des enquêtes du FBI et de sources tierces crédibles, avec des mises à jour aussi récentes que février 2024.
Depuis le début du printemps 2023, le ransomware Akira a touché plusieurs entreprises, y compris le secteur des infrastructures critiques à travers les États-Unis, l’Europe et l’Australie, avec plus de 250 organisations affectées. Les adversaires ont employé une itération Linux ciblant les machines virtuelles VMware ESXi après avoir initialement touché les systèmes Windows. Alors que les premières variantes du ransomware Akira étaient codées en langage C++ et reposaient sur l’extension .akira, à la fin de l’été 2023, les acteurs de la menace Akira ont fait évoluer leur arsenal offensif en utilisant Megazord, une variante basée sur Rust utilisant le cryptage de fichiers basé sur une extension .powerranges.
Pour obtenir un accès initial aux systèmes ciblés, les mainteneurs du ransomware Akira exploitent couramment les failles de sécurité dans les services VPN dépourvus de configurations MFA, s’appuyant principalement sur des vulnérabilités Cisco connues, CVE-2020-3259 et CVE-2023-20269. D’autres vecteurs d’accès initial impliquent l’exploitation de services ouverts vers l’extérieur comme le RDP, des attaques par hameçonnage ciblé, et l’utilisation abusive d’informations d’identification légitimes.
De plus, les acteurs de la menace Akira ont tendance à exploiter les contrôleurs de domaine en générant de nouveaux comptes de domaine pour la persistance. Ils profitent également des techniques post-exploitation comme le Kerberoasting pour extraire des informations d’identification de la mémoire LSASS et utilisent des outils de récupération d’informations d’identification, tels que Mimikatz et LaZagne pour l’élévation de privilèges. De plus, les adversaires appliquent des utilitaires comme SoftPerfect et Advanced IP Scanner pour découvrir les appareils du réseau, tandis que net des commandes Windows sont utilisées pour identifier les contrôleurs de domaine et recueillir des informations sur les relations de confiance du domaine.
Les attaques Akira ont aussi été distinguées par le déploiement de deux variantes distinctes de ransomware ciblant différentes architectures système au sein d’une même intrusion, ce qui souligne un changement par rapport à l’activité malveillante récemment observée. Initialement, les acteurs de la menace Akira ont déployé le ransomware Megazord basé sur Windows et ont simultanément introduit une seconde charge utile identifiée comme la nouvelle variante encryptante Akira ESXi appelée “Akira_v2”. Pour faciliter le mouvement latéral, les adversaires désactivent les logiciels de sécurité pour éviter la détection. Ils ont également été observés à exploiter PowerTool pour abuser du pilote Zemana AntiMalware et entraver les processus anti-malware.
Quant à l’arsenal de l’adversaire facilitant l’exfiltration et l’impact, les mainteneurs du ransomware Akira appliquent FileZilla, WinRAR, WinSCP, et RClone pour voler des données des systèmes compromis et exploitent un ensemble d’utilitaires comme AnyDesk, MobaXterm, RustDesk, ou Ngrok pour établir des canaux C2. Les adversaires emploient également un modèle de double extorsion, encryptant les systèmes après l’exfiltration des données. Les acteurs de la menace Akira exigent couramment des paiements de rançon en Bitcoin vers des adresses de portefeuille crypto et menacent de publier les données volées sur le réseau Tor.
Pour minimiser les risques d’attaques Akira, il est fortement recommandé aux organisations de mettre en œuvre plusieurs couches de protection de sécurité, y compris la segmentation du réseau, l’application de l’authentification multifactorielle, les correctifs réguliers, la surveillance continue des activités suspectes et le maintien de sauvegardes hors ligne.
Le nombre croissant d’attaques par ransomware, couplé à leur sophistication accrue et à leurs arsenaux offensifs constamment améliorés, souligne la nécessité de minimiser l’exposition des organisations à de telles menaces en mettant en œuvre une stratégie de défense cyber proactive. Exploiter le détective d’attaque de SOC Prime permet aux défenseurs de s’appuyer sur la validation automatisée de la pile de détection pour obtenir une visibilité en temps réel de la surface d’attaque, identifier et combler les lacunes dans la couverture de détection en temps opportun et découvrir les violations avant que les adversaires n’aient une chance de frapper.
