Grupo de Ransomware Akira está em Ascensão: Hackers Miram a Indústria Aérea na América Latina
Índice:
Pesquisadores de cibersegurança observaram recentemente um novo ataque cibernético a uma companhia aérea latino-americana utilizando ransomware Akira. Os atacantes aproveitaram o protocolo SSH para acesso inicial e mantiveram reconhecimento e persistência utilizando ferramentas legítimas e Binaries e Scripts Legítimos (LOLBAS). Notavelmente, antes de implantar o ransomware, os hackers conseguiram exfiltrar com sucesso dados críticos.
Detectando Ataques do Ransomware Akira
A comunidade de cibersegurança está enfrentando um grande desafio causado pela ameaça crescente de grupos de ransomware de alto perfil. De acordo com o Relatório de Ransomware do Q1 de 2024 da Corvus Insurance, os ataques de ransomware globais estabeleceram um recorde sem precedentes, superando 2022 por quase 70%.
O grupo de ransomware Akira tem estado entre os coletivos mais ativos no último ano, compartilhando o topo com LockBit, , Clop e outros atores infames. Os últimos relatórios destacam que o Akira está por trás do ataque contra a grande companhia aérea da LATAM, assim como, Clop, and other infamous actors. The latest news reports highlight that Akira stands behind the attack against the major LATAM airline, as well as a interrupção no aeroporto de Split na Croácia, e campanhas contra várias grandes empresas nos EUA.
Para ajudar os defensores cibernéticos a se manterem à frente das intrusões ligadas ao ransomware Akira, a Plataforma SOC Prime para defesa cibernética coletiva oferece um conjunto de conteúdos selecionados abordando TTPs aplicados durante o ataque à companhia aérea LATAM. Basta clicar no botão Explore Detecções abaixo para imediatamente aprofundar-se em uma lista de conteúdos dedicada.
Todas as regras são compatíveis com mais de 30 tecnologias SIEM, EDR e Data Lake e mapeadas para o MITRE ATT&CK® framework. Além disso, as detecções são enriquecidas com metadados extensivos, incluindo referências CTI, cronogramas de ataques e recomendações de triagem, para facilitar a investigação de ameaças.
Os defensores cibernéticos que procuram mais conteúdo de detecção abordando os padrões de ataque do Akira podem procurar no Threat Detection Marketplace usando uma tag personalizada “Akira” ou simplesmente seguir este link para acessar uma ampla coleção de regras Sigma relevantes ligadas à atividade maliciosa do grupo.
Descrição da Campanha de Ransomware Akira
De acordo com a inquérito pela Equipe de Pesquisa e Inteligência da BlackBerry, os mantenedores do ransomware Akira utilizaram uma abordagem sofisticada para ganhar acesso à infraestrutura da companhia aérea LATAM, exfiltrar dados sensíveis e implantar o payload do Akira na rede infectada.
Os adversários ganharam acesso inicial à rede usando o protocolo SSH e exfiltraram com sucesso dados críticos antes de implantar o amostra do ransomware Akira no dia seguinte. Durante a cadeia de infecção, os atacantes exploraram várias ferramentas legítimas, incluindo LOLBAS, que lhes deu luz verde para conduzir reconhecimento e manter persistência no ambiente comprometido.
Após exfiltrarem dados com sucesso, os atacantes implantaram o ransomware para criptografar e desativar os sistemas da vítima. Além de visar principalmente sistemas Windows, os afiliados do ransomware Akira também contam com variantes Linux, incluindo aquela para máquinas virtuais VMware ESXi. No último ataque, os mantenedores do ransomware Akira podem estar associados a usuários baseados em Linux devido a indicadores como consultas DNS para um domínio ligado ao Remmina, um cliente de desktop remoto de código aberto. Nesta campanha ofensiva visando uma companhia aérea latino-americana, os atacantes exploraram um servidor de backup Veeam não corrigido armando uma vulnerabilidade CVE-2023-27532. Nos ataques anteriores, os operadores do Akira infiltraram-se em sistemas abusando de outras vulnerabilidades e falhas de zero-day, incluindo CVE-2020-3259 e CVE-2023-20269.
O Akira tem estado ativo desde o início da primavera de 2023, operando como um RaaS e utilizado pelo notório grupo de hackers Storm-1567 (também conhecido como Punk Spider e GOLD SAHARA). O grupo é responsável por desenvolver e manter o ransomware Akira junto com os sites de vazamento dedicados.
Os mantenedores do ransomware Akira frequentemente utilizam táticas de dupla extorsão, exfiltrando dados sensíveis antes de implantar o ransomware, com o último ataque seguindo o mesmo padrão comportamental. Esta estratégia pressiona as vítimas a pagarem rapidamente, pois elas correm o risco de exposição pública de seus dados roubados.
As principais TTPs associadas ao ransomware Akira incluem o abuso de software legítimo como ferramentas de teste de penetração de código aberto e a exploração de vulnerabilidades em sistemas desatualizados ou não corrigidos, incluindo software de VPN. O grupo Akira atacou vários setores industriais, visando empresas e infraestrutura crítica em todo o mundo. Em abril de 2024, o FBI e a CISA, em conjunto com as principais autoridades de cibersegurança, emitiram uma CSA conjunta para distribuir IOCs e TTPs conhecidos ligados aosataques crescentes dos mantenedores do ransomware Akira, junto com recomendações e mitigações para minimizar os riscos de intrusões.
A escalada contínua de ameaças de ransomware desafia consistentemente os defensores de cibersegurança com novas técnicas de ataque e táticas maliciosas, aumentando a necessidade de ferramentas avançadas de detecção de ameaças e caça para combater proativamente potenciais intrusões. O ataque a uma companhia aérea latino-americana ligado aos mantenedores do ransomware Akira, motivados financeiramente, destaca a prontidão do adversário para atacar organizações em várias regiões, especialmente aquelas com vulnerabilidades não corrigidas, o que encoraja organizações globais a buscar maneiras inovadoras de fortalecer sua postura de cibersegurança apoiadas por expertise coletiva da indústria. Conjunto completo de produtos da SOC Prime para Engenharia de Detecção movida por IA, Caça a Ameaças Automatizada e Validação de Pilha de Detecção equipa equipes de segurança com uma solução viável que permite defesa cibernética coletiva contra ataques cibernéticos de qualquer escala e sofisticação.
