SOC Prime Bias: Високий

24 Nov 2025 16:49 UTC

Akira Ransomware: Відповідь на рекомендації CISA AA24-109A

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Akira Ransomware: Відповідь на рекомендації CISA AA24-109A
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Akira Ransomware: Відповідь на рекомендації CISA AA24-109A ОГЛЯД

Рекомендація описує операцію з викупу Akira, загрозу Ransomware-as-a-Service (RaaS), яка як шифрує дані жертви, так і ексфільтрує їх перед шифруванням. Вперше спостерігалося в березні 2023 року, Akira швидко здобула популярність і вважається спорідненою з сімейством програм-вимагачів Conti. Документ детально описує тактику, техніки та процедури групи, включаючи атаки грубої сили проти RDP, злив паролів та покладання на протокол відсутності прихованої витікання через портал, розміщений на TOR. Жертви зазвичай змушені платити або за ключі для розшифровки, або за обіцянку видалення викрадених даних.

Розслідування

Координоване розслідування CISA, ФБР, NCSC-NL та декількох європейських правоохоронних партнерів оновило профіль загрози Akira до листопада 2025 року. Технічні знахідки підкреслюють наполегливість через створення нових локальних облікових записів, широке розвідування з використанням API Windows та використання утиліт для крадіжки даних, таких як Mimikatz, LaZagne і Rubeus. Шифрування файлів виконується за допомогою алгоритму ChaCha20, ключі захищені з використанням RSA-4096.

Зменшення загрози Akira Ransomware

Пріоритети захисту включають впровадження сильних, унікальних облікових даних RDP, моніторинг незвичайного створення облікових записів та активності еускації привілеїв, блокування загальних злочинних інструментів. Організації повинні підтримувати регулярні, тестовані резервні копії, відключати непотрібні служби та впроваджувати контролі на основі хосту, щоб запобігти зливу пам’яті LSASS. Додаткові заходи передбачають фільтрування трафіку TOR на межі мережі та відстеження можливого витоку даних в інфраструктуру .onion.

Відповідь

Коли підозрюється активність Akira, негайно изолюйте уражений хост, зберіть образи пам’яті та диска та збережіть всі відповідні показники компрометації. Скиньте виявлені облікові дані, видаліть несанкціоновані облікові записи та відновіть системи з довірених, перевірених резервних копій. Всебічний криміналістичний огляд повинен відобразити шляхи латерального руху та точки повороту, з результатами, доступними відповідним органам влади та партнерам з обміну інформацією.

Потік атаки

Виконання моделювання

Необхідна умова: Перевірка телеметрії та базової лінії повинна бути пройденою.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), розробленого для запуску правила виявлення. Команди та опис безпосередньо відображають ідентифіковані TTP та генерують точну телеметрію, очікувану логікою виявлення.

  • Опис атаки та команди:
    Оператор програми-вимагача готується зашифрувати каталог документів користувача. Спочатку він забезпечує повний доступ до файлів для процесу програми-вимагача, надаючи повний контроль за допомогою Everyone за допомогою icacls.exe. Це класичний крок “надати повний доступ до шифрування”, що відповідає техніці MITRE T1222.001. Нападник запускає команду з низького рівня привілеїв, але покладається на те, що icacls.exe може змінювати ACL, якщо процес має достатні привілеї (наприклад, працює як SYSTEM через заплановане завдання).

    # Шлях до цільового директорії
    $target = "C:UsersPublicDocumentsSensitiveData"
    
    # Рекурсивно надати повний контроль для Everyone
    icacls.exe "$target*" /grant *S-1-1-0:F /T /C

    Вищезазначена команда створює подію Sysmon ProcessCreate майже де Image закінчується на icacls.exe, що відповідає правилу виявлення.

  • Сценарій регресійного тестування:

    # ---------------------------------------------------------------
    # Регресійний тест – Зміна дозволів Icacls (T1222.001)
    # ---------------------------------------------------------------
    # Створити тимчасову тестову директорію
    $testDir = "$env:TEMPIcaclsTest"
    New-Item -Path $testDir -ItemType Directory -Force | Out-Null
    
    # Наповнити псевдо-файлами
    1..5 | ForEach-Object {
        New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null
    }
    
    # Виконати icacls для надання Everyone повного контролю (це повинно запустити правило)
    icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C
    
    # Пауза для дозволу поглинання даних SIEM
    Start-Sleep -Seconds 10
    
    # Кінець сценарію
  • Команди очищення:

    # ---------------------------------------------------------------
    # Очищення – Видалення тестових зміни ACL та видалення тестових даних
    # ---------------------------------------------------------------
    $testDir = "$env:TEMPIcaclsTest"
    
    # Скинути дозволи до значень за замовчуванням (видалити надання Everyone)
    icacls.exe "$testDir*" /reset /T /C
    
    # Видалити тестову директорію
    Remove-Item -Path $testDir -Recurse -Force