Il Gruppo Ransomware Akira รจ in Ascesa: Gli Hacker Prendono di Mira il Settore Aereo in America Latina
Indice:
I ricercatori di cybersecurity hanno recentemente osservato un nuovo attacco informatico a una compagnia aerea dell’America Latina sfruttando il ransomware Akira. Gli aggressori hanno sfruttato il protocollo SSH per l’accesso iniziale e hanno mantenuto la ricognizione e la persistenza utilizzando strumenti legittimi e le Living off-the-Land Binaries and Scripts (LOLBAS). Nota importante, prima di distribuire il ransomware, gli hacker sono riusciti a esfiltrare con successo dati critici.
Rilevamento degli attacchi ransomware di Akira
La comunitร della cybersecurity sta affrontando una grande sfida causata dalla crescente minaccia dei gruppi di ransomware di alto profilo. Secondo il Rapporto sul Ransomware del Q1 2024 di Corvus Insurance, gli attacchi ransomware globali hanno stabilito un record senza precedenti, superando il 2022 di quasi il 70%.
Il gruppo ransomware Akira รจ stato tra i collettivi piรน attivi dell’ultimo anno, condividendo il primo posto con LockBit, BlackCat, Clop, e altri attori infami. Gli ultimi rapporti di notizie evidenziano che Akira รจ responsabile dell’attacco contro la principale compagnia aerea LATAM, nonchรฉ della disruzione all’aeroporto di Spalato in Croazia, e delle campagne contro diverse grandi aziende negli Stati Uniti.
Per aiutare i difensori informatici a rimanere al passo con le intrusioni legate al ransomware Akira, la piattaforma SOC Prime per la difesa informatica collettiva offre un insieme di contenuti curati che affrontano le TTP applicate durante l’attacco alla compagnia aerea LATAM. Basta premere ilpulsante Esplora Rilevamentidi seguito per esaminare immediatamente un elenco di contenuti dedicato.
Tutte le regole sono compatibili con oltre 30 tecnologie SIEM, EDR, e Data Lake e mappate al framework MITRE ATT&CKยฎ. Inoltre, i rilevamenti sono arricchiti con metadati estesi, incluse le referenze CTI, le linee temporali degli attacchi e le raccomandazioni di triage, per facilitare l’investigazione delle minacce.
I difensori informatici in cerca di piรน contenuti di rilevamento che affrontano i modelli di attacco di Akira possono cercare nel Threat Detection Marketplace utilizzando un tag personalizzato โAkiraโ o semplicemente seguire questo link per accedere a un’ampia raccolta di rilevamenti Sigma pertinenti collegati all’attivitร illecita del gruppo.
Descrizione della campagna ransomware Akira
Secondo l’ indagine dell’BlackBerry Research and Intelligence Team, i gestori del ransomware Akira hanno adottato un approccio sofisticato per accedere all’infrastruttura della compagnia aerea LATAM, esfiltrare dati sensibili e rilasciare il payload di Akira nella rete infetta.
Gli avversari hanno ottenuto l’accesso iniziale alla rete utilizzando il protocollo SSH e hanno esfiltrato con successo dati critici prima di distribuire il campione di ransomware Akira il giorno successivo. Durante la catena di infezione, gli aggressori hanno sfruttato diversi strumenti legittimi, incluso LOLBAS, che ha dato loro il via libera per svolgere ricognizioni e mantenere la persistenza nell’ambiente compromesso.
Dopo aver esfiltrato con successo i dati, gli aggressori hanno distribuito il ransomware per crittografare e disabilitare i sistemi delle vittime. Oltre a prendere di mira principalmente i sistemi Windows, gli affiliati del ransomware Akira si affidano anche a varianti Linux, inclusa quella per le macchine virtuali VMware ESXi. Nell’ultimo attacco, i gestori del ransomware Akira potrebbero essere associati a utenti basati su Linux a causa di indicatori come le query DNS a un dominio legato a Remmina, un client desktop remoto open-source. In questa campagna offensiva che colpisce una compagnia aerea dell’America Latina, gli aggressori hanno sfruttato un server di backup Veeam non aggiornato sfruttando una vulnerabilitร CVE-2023-27532. Negli attacchi precedenti, gli operatori di Akira hanno infiltrato sistemi abusando di altre vulnerabilitร e difetti zero-day, inclusi CVE-2020-3259 e CVE-2023-20269.
Akira รจ attivo dalla primavera del 2023, operando come RaaS e sfruttato dal noto gruppo di hacking Storm-1567 (noto anche come Punk Spider e GOLD SAHARA). Il gruppo รจ dietro lo sviluppo e la manutenzione del ransomware Akira insieme ai siti di leak dedicati.
I gestori del ransomware Akira spesso utilizzano tattiche di doppia estorsione, esfiltrando dati sensibili prima di implementare il ransomware, con l’ultimo attacco che segue lo stesso schema comportamentale. Questa strategia mette pressione alle vittime affinchรฉ paghino rapidamente, poichรฉ rischiano l’esposizione pubblica dei dati rubati.
Le principali TTP associate al ransomware Akira includono l’abuso di software legittimi come strumenti di test di penetrazione open-source e lo sfruttamento di vulnerabilitร in sistemi obsoleti o non aggiornati, inclusi software VPN. Il gruppo Akira ha attaccato vari settori industriali, prendendo di mira aziende e infrastrutture critiche in tutto il mondo. Nell’aprile 2024, l’FBI e la CISA, in collaborazione con le principali autoritร di cybersecurity, hanno emesso un CSA congiunto per distribuire IOCs e TTP conosciuti legati agliattacchi in crescita dei gestori del ransomware Akira,ย insieme a raccomandazioni e mitigazioni per ridurre alminimo i rischi di intrusioni.
L’escalation in corso delle minacce ransomware sfida costantemente i difensori della cybersecurity con nuove tecniche di attacco e tattiche malevoli, aumentando la necessitร di strumenti avanzati di rilevamento delle minacce e hunting per contrastare proattivamente potenziali intrusioni. L’attacco a una compagnia aerea dell’America Latina legato ai gestori del ransomware Akira motivati finanziariamente sottolinea la prontezza dell’avversario a prendere di mira organizzazioni in varie regioni, in particolare quelle con vulnerabilitร non patchate, il che incoraggia le organizzazioni a livello globale a cercare modi innovativi per rafforzare la propria postura di cybersecurity supportata dall’expertise collettiva del settore. La suite completa di prodotti di SOC Prime per l’Ingegneria della Rilevazione AI-powered, l’Hunting delle Minacce Automatizzato e la Validazione dello Stack di Rilevazione equipaggia i team di sicurezza con una soluzione fattibile che permette la difesa informatica collettiva contro attacchi informatici di qualsiasi scala e sofisticazione.
