아키라 랜섬웨어 탐지: 공동 사이버 보안 권고 (CSA) AA24-109A, 북미, 유럽, 호주의 기업 및 중요 인프라 타겟 공격 강조
목차:
FBI와 CISA는 미국 및 주요 국제 사이버 보안 기관들과 협력하여 Akira 랜섬웨어를 활용한 사이버 공격 급증을 경고하는 공동 자문 발표 AA24-109A를 최근 발행했습니다. 조사에 따르면 관련 악성 캠페인이 250개 이상의 조직에 영향을 미쳤으며 약 4200만 달러의 몸값이 지급되었습니다.
Akira 랜섬웨어 공격 탐지
증가하는 랜섬웨어 위협은 지속적으로 새로운 공격 방법과 악성 트릭으로 사이버 수비수들을 도전하고 있으며, 이는 잠재적 침입을 사전에 견디기 위해 고급 위협 탐지 및 사냥 도구에 대한 수요를 형성합니다. SOC Prime의 플랫폼은 보안 팀에 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 탐지 스택 검증을 위한 완전한 제품군을 제공하여 사이버 방어를 강화하고 어떠한 사이버 공격도 탐지되지 않도록 보장합니다.
Akira 랜섬웨어의 증가와 함께 보안 전문가들은 위협 사냥 조사를 가속화하는 데 도움이 되는 엄선된 Sigma 규칙 스택을 탐색할 수 있습니다. 모든 규칙은 28개의 SIEM, EDR 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 프레임워크와 매핑되어 있습니다. 또한 각 탐지 알고리즘은 추가적인 컨텍스트를 제공하기 위해 관련 위협 인텔 및 광범위한 메타데이터로 풍부하게 채워져 있습니다. 아래 버튼을 눌러 전용 콘텐츠 목록으로 즉시 드릴 다운하세요. 탐지 탐색 버튼을 클릭하여 즉시 드릴 다운하여 전용 콘텐츠 목록을 확인하십시오.
또한, 보안 전문가들은 “AA24-109A” 및 “Akira 랜섬웨어” 태그를 사용하여 SOC Prime 플랫폼에서 관련 탐지를 검색할 수 있습니다.
Akira 랜섬웨어 공격 분석
2024년 4월 18일, FBI, CISA 및 글로벌 파트너들은 협력적인 사이버 보안 자문(CSA) 를 발표하여 Akira 랜섬웨어 운영자에 의한 증가하는 공격과 관련된 알려진 IOCs 및 TTPs를 알리고 배포하였습니다. 이 정보는 FBI 조사 및 신뢰할 수 있는 제3자의 출처에서 파생된 것이며 2024년 2월에 가장 최근 업데이트되었습니다.
2023년 초봄 이후, Akira 랜섬웨어는 미국, 유럽 및 호주 전역의 핵심 인프라 부문을 포함한 여러 기업을 타격했으며 250개 이상의 조직이 영향을 받았습니다. 적대자는 처음에 Windows 시스템을 감염시킨 후 VMware ESXi 가상 머신을 대상으로 하는 Linux 버전을 사용했습니다. Akira 랜섬웨어의 초기 변종은 C++ 프로그래밍 언어로 코딩되었으며 .akira 확장자를 사용했지만, 2023년 여름 후반 Akira 위협 행위자들은 Megazord라는 Rust 기반 변종을 활용하여 공격 도구를 발전시켰으며 .powerranges 확장을 기반으로 파일 암호화를 사용했습니다.
목표 시스템에 대한 초기 접근을 얻기 위해 Akira 랜섬웨어 유지 관리자는 주로 알려진 Cisco 취약점인 CVE-2020-3259 및 CVE-2023-20269를 활용하여 MFA 구성이 없는 VPN 서비스의 보안 결함을 흔하여 공격합니다. 또 다른 초기 접근 벡터는 RDP, 스피어 피싱 공격 및 합법적인 자격 증명을 남용하는 것을 포함합니다.
추가적으로, Akira 위협 행위자들은 도메인 컨트롤러를 무기로 삼아 지속성을 위해 새로운 도메인 계정을 생성하는 경향이 있습니다. 그들은 또한 Kerberoasting과 같은 포스트 익스플로잇 기술을 사용하여 LSASS 메모리에서 자격 증명을 추출하고 Mimikatz 및 LaZagne와 같은 자격 증명 스크래핑 도구를 사용하여 권한 상승을 수행합니다. 게다가, 적대자는 SoftPerfect 및 Advanced IP Scanner와 같은 유틸리티를 사용하여 네트워크 장치 발견을 수행하고 net Windows 명령을 사용하여 도메인 컨트롤러를 식별하고 도메인 신뢰 관계 정보를 수집합니다.
Akira 공격은 또한 단일 침입 내에서 다양한 시스템 아키텍처를 목표로 하는 두 개의 별개의 랜섬웨어 변종을 배포하여 최근의 악성 활동에서의 변화를 강조했습니다. 초기에는 Akira 위협 행위자가 Windows 기반 Megazord 랜섬웨어를 배포하고 동시에 새로운 Akira ESXi 암호화기 변종으로 식별된 두 번째 페이로드를 도입했습니다 “Akira_v2.” 측면 이동을 용이하게하기 위해, 적대자는 탐지 회피를 위해 보안 소프트웨어를 비활성화했습니다. 그들은 또한 Zemana AntiMalware 드라이버를 악용하여 PowerTool을 남용하고 안티멀웨어 프로세스를 방해하는 것으로 관찰되었습니다.
적대자 도구 상자에 대한 영향과 데이터 탈출을 촉진하기 위해, Akira 랜섬웨어 유지 관리자들은 FileZilla, WinRAR, WinSCP 및 RClone을 사용하여 손상된 시스템에서 데이터를 탈취하고 AnyDesk, MobaXterm, RustDesk, 또는 Ngrok과 같은 유틸리티를 사용하여 C2 채널을 설정합니다. 적대자는 또한 데이터 탈출 후 시스템을 암호화하는 이중 갈취 모델을 사용합니다. Akira 위협 행위자들은 주로 비트코인으로 몸값을 지불하도록 요구하며 암호화 지갑 주소에 지불을 요구하고 도난 데이터를 Tor 네트워크에 게시하겠다고 위협합니다.
Akira 공격의 위험을 최소화하기 위해, 조직은 네트워크 분할, 다중 인증 적용, 정기 패치, 의심스러운 활동에 대한 지속적인 모니터링 및 오프라인 백업 유지 등 다중 계층 보안 보호를 구현할 것을 강력히 권장합니다.
랜섬웨어 공격의 증가 수는 물론 그들의 지속적으로 향상된 공격 도구와 결합된 증가하는 정교함은 조직의 이러한 위협에 대한 노출을 최소화하기 위해 사전 예방적인 사이버 방어 전략을 구현해야 할 필요성을 강조합니다. SOC Prime의 Attack Detective 를 활용하면 수비수들이 자동화된 탐지 스택 검증에 의존하여 실시간 공격 표면 가시성을 얻고, 탐지 범위의 블라인드 스팟을 적시에 식별하여 해결하며, 적대자가 공격할 기회를 갖기 전에 침해를 찾을 수 있습니다.
