Detecção de Ransomware Akira: Aviso Conjunto de Cibersegurança (CSA) AA24-109A Destaca Ataques a Empresas e Infraestruturas Críticas na América do Norte, Europa e Austrália
Índice:
O FBI e a CISA, em conjunto com as principais agências de cibersegurança dos EUA e internacionais, emitiram recentemente o aviso conjunto AA24-109A alertando os defensores sobre um aumento nos ataques cibernéticos utilizando o ransomware Akira. De acordo com investigações, campanhas maliciosas relacionadas afetaram mais de 250 organizações e reivindicaram cerca de 42 milhões de dólares em pagamentos de resgate.
Detectar Ataques de Ransomware Akira
Escalonando ransomware ameaças continuamente desafiam os defensores cibernéticos com novos métodos de ataque e truques maliciosos, moldando a demanda por ferramentas avançadas de detecção de ameaças e caça para resistir proativamente às possíveis intrusões. A plataforma da SOC Prime equipa as equipes de segurança com um conjunto completo de produtos para Engenharia de Detecção impulsionada por IA, Caça Automatizada de Ameaças e Validação de Pilha de Detecção para aumentar a defesa cibernética e garantir que nenhum ataque cibernético passe despercebido.
Com o aumento do ransomware Akira, os profissionais de segurança podem explorar uma pilha de regras Sigma selecionadas que ajudam a acelerar a investigação de caça às ameaças. Todas as regras são compatíveis com 28 tecnologias SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, cada algoritmo de detecção é enriquecido com inteligência de ameaça relevante e metadados extensos para fornecer contexto adicional. Basta pressionar o botão Explorar Detecções abaixo e mergulhar imediatamente em uma lista de conteúdos dedicada.
Além disso, os profissionais de segurança podem buscar detecções relevantes diretamente na Plataforma SOC Prime usando as tags “AA24-109A” e “Ransomware Akira”.
Análise de Ataques de Ransomware Akira
Em 18 de abril de 2024, o FBI, a CISA e parceiros globais emitiram um Aviso de Cibersegurança colaborativo (CSA) para informar e distribuir IOCs e TTPs conhecidos ligados ao aumento dos ataques por operadores de ransomware Akira. Esta informação é derivada de investigações do FBI e fontes de terceiros credíveis, com atualizações tão recentes quanto fevereiro de 2024.
Desde o início da primavera de 2023, o ransomware Akira atingiu múltiplas empresas, incluindo o setor de infraestrutura crítica nos EUA, Europa e Austrália, com mais de 250 organizações afetadas. Os adversários empregaram uma iteração Linux visando máquinas virtuais VMware ESXi após inicialmente afetar sistemas Windows. Enquanto as variantes iniciais de ransomware Akira foram codificadas na linguagem de programação C++ e dependiam da extensão .akira, no final do verão de 2023, os operadores da ameaça Akira evoluíram seu kit de ferramentas ofensivas utilizando o Megazord, uma variante baseada em Rust que usa criptografia de arquivos baseada na extensão .powerranges.
Para obter acesso inicial aos sistemas-alvo, os mantenedores do ransomware Akira comumente armam falhas de segurança em serviços de VPN sem configurações de MFA, principalmente aproveitando vulnerabilidades conhecidas da Cisco, CVE-2020-3259 e CVE-2023-20269. Outros vetores de acesso inicial envolvem a exploração de serviços voltados para o exterior como RDP, ataques de spear-phishing e o abuso de credenciais legítimas.
Além disso, os operadores da ameaça Akira tendem a armar controladores de domínio gerando novas contas de domínio para persistência. Eles também aproveitam técnicas de pós-exploração como Kerberoasting para extrair credenciais da memória LSASS e empregam ferramentas de scraping de credenciais, como Mimikatz e LaZagne para escalonamento de privilégios. Além disso, os adversários aplicam utilitários como SoftPerfect e Advanced IP Scanner para descoberta de dispositivos de rede, enquanto net comandos do Windows são usados para identificar controladores de domínio e reunir informações sobre relacionamento de confiança de domínio.
Os ataques Akira também se destacaram por implantar duas variantes de ransomware distintas, visando arquiteturas de sistema diversas dentro de uma única intrusão, o que destaca uma mudança da atividade maliciosa recentemente observada. Inicialmente, os operadores da ameaça Akira implantaram o ransomware Megazord baseado em Windows e simultaneamente introduziram uma segunda carga identificada como a nova variante de criptografador Akira ESXi, chamada “Akira_v2.” Para facilitar o movimento lateral, os adversários desativam o software de segurança para evasão de detecção. Eles também foram observados abusando do PowerTool para explorar o driver Zemana AntiMalware e dificultar processos anti-malware.
Quanto ao kit de ferramentas adversário que facilita a exfiltração e impacto, os mantenedores do ransomware Akira aplicam FileZilla, WinRAR, WinSCP, e RClone para roubar dados dos sistemas comprometidos e aproveitam um conjunto de utilitários como AnyDesk, MobaXterm, RustDesk ou Ngrok para estabelecer canais C2. Os adversários também empregam um modelo de dupla extorsão, criptografando sistemas após a exfiltração de dados. Os operadores da ameaça Akira comumente exigem pagamentos de resgate em Bitcoin para endereços de carteiras de criptomoedas e ameaçam publicar dados roubados na rede Tor.
Para minimizar os riscos dos ataques Akira, as organizações são fortemente recomendadas a implementar várias camadas de proteção de segurança, incluindo segmentação de rede, aplicação de autenticação multifator, correção regular, monitoramento contínuo de atividades suspeitas e manutenção de backups offline.
O número crescente de ataques de ransomware, combinado com seu aumento de sofisticação e kits de ferramentas ofensivas continuamente aprimorados, destaca a necessidade de minimizar a exposição das organizações a essas ameaças implementando uma estratégia de defesa cibernética proativa. Aproveitar o Attack Detective da SOC Prime permite que os defensores confiem na validação automatizada da pilha de detecção para obter visibilidade em tempo real da superfície de ataque, identificar e abordar rapidamente pontos cegos na cobertura de detecção, e encontrar violações antes que os adversários tenham chance de atacar.
