Le Groupe de Rançongiciel Akira Est en Pleine Expansion : Les Hackers Ciblent l’Industrie Aérienne en Amérique Latine
Table des matières :
Les chercheurs en cybersécurité ont récemment observé une nouvelle attaque informatique contre une compagnie aérienne d’Amérique latine utilisant le ransomware Akira. Les attaquants ont exploité le protocole SSH pour accéder initialement et ont maintenu la reconnaissance et la persistance en utilisant des outils légitimes et Living off-the-Land Binaries and Scripts (LOLBAS). Notamment, avant de déployer le ransomware, les hackers ont réussi à exfiltrer des données critiques.
Détection des attaques du ransomware Akira
La communauté de la cybersécurité fait face à un défi majeur causé par la menace croissante des groupes de ransomware de haut niveau. Selon le Rapport ransomware T1 2024 de Corvus Insurance, les attaques de ransomware mondiales ont atteint un record sans précédent, surpassant 2022 de presque 70 %.
Le groupe de ransomware Akira a été parmi les collectifs les plus actifs de l’année dernière, partageant la première place avec LockBit, BlackCat, Clop, et d’autres acteurs infâmes. Les derniers rapports d’actualité soulignent qu’Akira est à l’origine de l’attaque contre la principale compagnie aérienne LATAM, ainsi que de la perturbation à l’aéroport de Split en Croatie, et de campagnes contre plusieurs grandes entreprises aux États-Unis.
Pour aider les défenseurs cybernétiques à rester au courant des intrusions liées au ransomware Akira, la plateforme SOC Prime pour la défense collective contre les cybermenaces offre un ensemble de contenu sélectionné abordant les TTP appliqués lors de l’attaque de la compagnie aérienne LATAM. Il suffit de cliquer sur le Explore Detections bouton ci-dessous pour plonger immédiatement dans une liste de contenu dédiée.
Toutes les règles sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK®. De plus, les détections sont enrichies de métadonnées complètes, y compris des références CTI, des chronologies d’attaque et des recommandations de triage, pour faciliter l’investigation des menaces.
Les défenseurs cybernétiques à la recherche de plus de contenu de détection abordant les schémas d’attaque d’Akira peuvent rechercher sur le marché Threat Detection à l’aide d’une étiquette personnalisée “Akira” ou simplement suivre ce lien pour accéder à une vaste collection de règles Sigma pertinentes liées aux activités malveillantes du groupe.
Description de la campagne de ransomware Akira
Selon l’ enquête de l’équipe de recherche et d’intelligence BlackBerry, les mainteneurs du ransomware Akira ont utilisé une approche sophistiquée pour accéder à l’infrastructure de la compagnie aérienne LATAM, exfiltrer des données sensibles et déposer la charge utile Akira sur le réseau infecté.
Les adversaires ont obtenu un accès initial au réseau en utilisant le protocole SSH et ont réussi à exfiltrer des données critiques avant de déployer le ransomware Akira le lendemain. Pendant la chaîne d’infection, les attaquants ont exploité plusieurs outils légitimes, y compris LOLBAS, ce qui leur a donné le feu vert pour effectuer une reconnaissance et maintenir la persistance dans l’environnement compromis.
Après avoir exfiltré avec succès les données, les attaquants ont déployé le ransomware pour chiffrer et désactiver les systèmes de la victime. En plus de cibler principalement les systèmes Windows, les affiliés du ransomware Akira s’appuient également sur des variantes Linux, y compris celle pour les machines virtuelles VMware ESXi. Dans la dernière attaque, les mainteneurs du ransomware Akira pourraient être associés à des utilisateurs basés sur Linux en raison d’indicateurs comme les requêtes DNS vers un domaine lié à Remmina, un client de bureau à distance open-source. Dans cette campagne offensive ciblant une compagnie aérienne d’Amérique latine, les attaquants ont exploité un serveur de sauvegarde Veeam non corrigé en utilisant une vulnérabilité CVE-2023-27532. Dans les attaques précédentes, les opérateurs d’Akira ont infiltré les systèmes en abusant d’autres vulnérabilités et failles zéro jour, y compris CVE-2020-3259 et CVE-2023-20269.
Akira est actif depuis le début du printemps 2023, opérant en tant que RaaS et exploité par le célèbre groupe de hacking Storm-1567 (également connu sous les noms de Punk Spider et GOLD SAHARA). Le groupe est responsable du développement et du maintien du ransomware Akira ainsi que des sites de fuite dédiés.
Les mainteneurs du ransomware Akira utilisent souvent des tactiques de double extorsion, exfiltrant des données sensibles avant de déployer le ransomware, la dernière attaque suivant le même modèle comportemental. Cette stratégie pousse les victimes à payer rapidement, car elles risquent l’exposition publique de leurs données volées.
Les principales TTP associées au ransomware Akira incluent l’abus de logiciels légitimes comme les outils de test d’intrusion open-source et l’exploitation des vulnérabilités dans les systèmes obsolètes ou non corrigés, y compris les logiciels VPN. Le groupe Akira a attaqué divers secteurs industriels, ciblant les entreprises et les infrastructures critiques dans le monde entier. En avril 2024, le FBI et la CISA, en collaboration avec les principales autorités de cybersécurité, ont publié une CSA conjointe pour distribuer des IOCs et TTPs connus liés aux attaques croissantes des mainteneurs du ransomware Akira, ainsi que des recommandations et atténuations pourréduire les risques d’intrusions.
L’escalade continue des menaces de ransomware défie constamment les défenseurs en cybersécurité avec de nouvelles techniques d’attaque et tactiques malveillantes, augmentant le besoin d’outils avancés de détection et de chasse aux menaces pour contrer de manière proactive les intrusions potentielles. L’attaque contre une compagnie aérienne d’Amérique latine liée aux mainteneurs du ransomware Akira, motivé par des raisons financières, souligne la volonté des adversaires de cibler des organisations dans diverses régions, en particulier celles avec des vulnérabilités non corrigées, ce qui encourage les organisations mondiales à rechercher des moyens innovants pour renforcer leur posture de cybersécurité appuyée par une expertise industrielle collective. La suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces et la validation de la pile de détection, dote les équipes de sécurité d’une solution faisable permettant une défense cybernétique collective contre les cyberattaques de toute échelle et sophistication.
