Rilevamento del Ransomware Akira: L’avviso congiunto di cybersicurezza (CSA) AA24-109A mette in evidenza gli attacchi che prendono di mira le aziende e le infrastrutture critiche in Nord America, Europa e Australia
Indice:
FBI e CISA, in collaborazione con gli Stati Uniti e le principali agenzie internazionali di cybersecurity, hanno recentemente emesso un avviso congiunto AA24-109A che avverte i difensori di un’impennata negli attacchi informatici che sfruttano il ransomware Akira. Secondo le indagini, le campagne malevole correlate hanno colpito oltre 250 organizzazioni e hanno richiesto circa 42 milioni di dollari in pagamenti di riscatto.
Rilevare attacchi di ransomware Akira
In aumento le minacce ransomware sfidano continuamente i difensori informatici con nuovi metodi di attacco e trucchi malevoli, modellando la domanda per strumenti avanzati di rilevamento delle minacce e di caccia per resistere proattivamente a possibili intrusioni. La piattaforma di SOC Prime equipaggia i team di sicurezza con una suite completa di prodotti per il rilevamento basato su IA, la caccia automatizzata alle minacce e la convalida dello stack di rilevamento per potenziare la difesa informatica e garantire che nessun attacco informatico passi inosservato. threats continuously challenge cyber defenders with novel attack methods and malicious tricks, shaping the demand for advanced threat detection and hunting tools to proactively withstand possible intrusions. SOC Prime’s platform equips security teams with a complete product suite for AI-powered Detection Engineering, Automated Threat Hunting, and Detection Stack Validation to scale up cyber defense and make sure no cyber attacks go undetected.
Con il ransomware Akira in aumento, i professionisti della sicurezza potrebbero esplorare una serie di regole Sigma curata che aiuta ad accelerare le indagini di caccia alle minacce. Tutte le regole sono compatibili con 28 tecnologie SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, ogni algoritmo di rilevamento è arricchito con intel di minaccia rilevanti ed ampi metadati per fornire un contesto aggiuntivo. Basta premere il Esplora Rilevamenti pulsante qui sotto e accedere immediatamente a una lista di contenuti dedicata.
Inoltre, i professionisti della sicurezza potrebbero cercare rilevamenti pertinenti direttamente nella piattaforma SOC Prime usando i tag “AA24-109A” e “Ransomware Akira”.
Analisi degli attacchi Ransomware Akira
Il 18 aprile 2024, l’FBI, CISA e partner globali hanno emesso un consiglio congiunto sulla sicurezza informatica (CSA) per informare e distribuire IOC e TTP noti collegati agli attacchi crescenti degli operatori di ransomware Akira. Queste informazioni derivano da indagini FBI e fonti terze affidabili, con aggiornamenti recenti risalenti a febbraio 2024.
Dall’inizio della primavera 2023, il ransomware Akira ha colpito diverse aziende, incluso il settore delle infrastrutture critiche negli Stati Uniti, Europa e Australia, con oltre 250 organizzazioni colpite. Gli avversari hanno impiegato un’iterazione di Linux mirata alle macchine virtuali VMware ESXi dopo aver inizialmente colpito i sistemi Windows. Mentre le prime varianti del ransomware Akira erano codificate nel linguaggio di programmazione C++ e si basavano sull’estensione .akira, alla fine dell’estate 2023, gli attori della minaccia Akira hanno evoluto il loro toolkit offensivo utilizzando Megazord, una variante basata su Rust che utilizza la crittografia dei file basata sull’estensione .powerranges.
Per ottenere l’accesso iniziale ai sistemi di destinazione, i manutentori del ransomware Akira comunemente sfruttano le vulnerabilità di sicurezza nei servizi VPN privi di configurazioni MFA, sfruttando principalmente le vulnerabilità Cisco conosciute, CVE-2020-3259 e CVE-2023-20269. Altri vettori di accesso iniziale includono lo sfruttamento di servizi esterni come RDP, attacchi di spear-phishing, e l’abuso di credenziali legittime.
Inoltre, gli attori della minaccia Akira tendono a sfruttare i controller di dominio generando nuovi account di dominio per la persistenza. Sfruttano anche tecniche post-sfruttamento come Kerberoasting per estrarre credenziali dalla memoria LSASS e impiegano strumenti di scraping delle credenziali, come Mimikatz e LaZagne per l’escalation dei privilegi. Inoltre, gli avversari applicano utilità come SoftPerfect e Advanced IP Scanner per il rilevamento di dispositivi di rete, mentre net i comandi Windows vengono utilizzati per identificare i controller di dominio e raccogliere informazioni sulle relazioni di fiducia del dominio.
Gli attacchi Akira si sono distinti anche per il dispiegamento di due varianti ransomware separate che mirano a diverse architetture di sistema all’interno di una singola intrusione, evidenziando un cambiamento rispetto alle recenti attività malevole osservate. Inizialmente, gli attori della minaccia Akira hanno distribuito il ransomware Megazord basato su Windows e contemporaneamente introdotto un secondo payload identificato come la nuova variante ESXi encryptor di Akira soprannominata “Akira_v2”. Per facilitare il movimento laterale, gli avversari disabilitano il software di sicurezza per l’evasione del rilevamento. Sono stati anche osservati abusare di PowerTool per sfruttare il driver di Zemana AntiMalware e ostacolare i processi anti-malware.
Per quanto riguarda il toolkit avversario che facilita l’esfiltrazione e l’impatto, i manutentori del ransomware Akira applicano FileZilla, WinRAR, WinSCP e RClone per rubare dati dai sistemi compromessi e sfruttano una serie di utilità come AnyDesk, MobaXterm, RustDesk o Ngrok per stabilire canali C2. Gli avversari impiegano anche un modello di doppia estorsione, crittografando i sistemi dopo l’esfiltrazione dei dati. Gli attori della minaccia Akira richiedono comunemente pagamenti di riscatto in Bitcoin a indirizzi di portafogli crittografici e minacciano ulteriormente di pubblicare i dati rubati sulla rete Tor.
Per ridurre al minimo i rischi degli attacchi Akira, si raccomanda fortemente alle organizzazioni di implementare protezioni di sicurezza a più livelli, compresa la segmentazione della rete, l’applicazione dell’autenticazione multifattoriale, l’aggiornamento regolare, il monitoraggio continuo per attività sospette e il mantenimento di backup offline.
Il crescente numero di attacchi ransomware, insieme alla loro crescente sofisticazione e continui miglioramenti degli strumenti offensivi, sottolinea la necessità di ridurre l’esposizione delle organizzazioni a tali minacce implementando una strategia di difesa informatica proattiva. Sfruttare l’ Attack Detective di SOC Prime consente ai difensori di fare affidamento sulla convalida automatica dello stack di rilevamento per ottenere visibilità in tempo reale della superficie di attacco, identificare tempestivamente e affrontare i punti ciechi nella copertura del rilevamento e trovare le violazioni prima che gli avversari abbiano la possibilità di colpire.
