Akira Ransomware: Відповідь на рекомендації CISA AA24-109A
Detection stack
- AIDR
- Alert
- ETL
- Query
Akira Ransomware: Відповідь на рекомендації CISA AA24-109A ОГЛЯД
Рекомендація описує операцію з викупу Akira, загрозу Ransomware-as-a-Service (RaaS), яка як шифрує дані жертви, так і ексфільтрує їх перед шифруванням. Вперше спостерігалося в березні 2023 року, Akira швидко здобула популярність і вважається спорідненою з сімейством програм-вимагачів Conti. Документ детально описує тактику, техніки та процедури групи, включаючи атаки грубої сили проти RDP, злив паролів та покладання на протокол відсутності прихованої витікання через портал, розміщений на TOR. Жертви зазвичай змушені платити або за ключі для розшифровки, або за обіцянку видалення викрадених даних.
Розслідування
Координоване розслідування CISA, ФБР, NCSC-NL та декількох європейських правоохоронних партнерів оновило профіль загрози Akira до листопада 2025 року. Технічні знахідки підкреслюють наполегливість через створення нових локальних облікових записів, широке розвідування з використанням API Windows та використання утиліт для крадіжки даних, таких як Mimikatz, LaZagne і Rubeus. Шифрування файлів виконується за допомогою алгоритму ChaCha20, ключі захищені з використанням RSA-4096.
Зменшення загрози Akira Ransomware
Пріоритети захисту включають впровадження сильних, унікальних облікових даних RDP, моніторинг незвичайного створення облікових записів та активності еускації привілеїв, блокування загальних злочинних інструментів. Організації повинні підтримувати регулярні, тестовані резервні копії, відключати непотрібні служби та впроваджувати контролі на основі хосту, щоб запобігти зливу пам’яті LSASS. Додаткові заходи передбачають фільтрування трафіку TOR на межі мережі та відстеження можливого витоку даних в інфраструктуру .onion.
Відповідь
Коли підозрюється активність Akira, негайно изолюйте уражений хост, зберіть образи пам’яті та диска та збережіть всі відповідні показники компрометації. Скиньте виявлені облікові дані, видаліть несанкціоновані облікові записи та відновіть системи з довірених, перевірених резервних копій. Всебічний криміналістичний огляд повинен відобразити шляхи латерального руху та точки повороту, з результатами, доступними відповідним органам влади та партнерам з обміну інформацією.
Потік атаки
Виявлення
Виявлення використання утиліти Icacls для зміни дозволів файлів [Подія файлу Windows]
Переглянути
Створення підозрілих локальних облікових записів та перелік процесів [Створення процесу Windows]
Переглянути
IOC (HashSha256) для виявлення: Відповідь на рекомендації CISA (AA24-109A): Akira Ransomware
Переглянути
Можливе зливання SAM/SYSTEM/SECURITY (через cmdline)
Переглянути
Можливе зливання облікових даних з використанням Comsvcs.dll (через cmdline)
Переглянути
Виконання моделювання
Необхідна умова: Перевірка телеметрії та базової лінії повинна бути пройденою.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), розробленого для запуску правила виявлення. Команди та опис безпосередньо відображають ідентифіковані TTP та генерують точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Оператор програми-вимагача готується зашифрувати каталог документів користувача. Спочатку він забезпечує повний доступ до файлів для процесу програми-вимагача, надаючи повний контроль за допомогою Everyone за допомогоюicacls.exe. Це класичний крок “надати повний доступ до шифрування”, що відповідає техніці MITRE T1222.001. Нападник запускає команду з низького рівня привілеїв, але покладається на те, щоicacls.exeможе змінювати ACL, якщо процес має достатні привілеї (наприклад, працює як SYSTEM через заплановане завдання).# Шлях до цільового директорії $target = "C:UsersPublicDocumentsSensitiveData" # Рекурсивно надати повний контроль для Everyone icacls.exe "$target*" /grant *S-1-1-0:F /T /CВищезазначена команда створює подію Sysmon ProcessCreate майже де
Imageзакінчується наicacls.exe, що відповідає правилу виявлення. -
Сценарій регресійного тестування:
# --------------------------------------------------------------- # Регресійний тест – Зміна дозволів Icacls (T1222.001) # --------------------------------------------------------------- # Створити тимчасову тестову директорію $testDir = "$env:TEMPIcaclsTest" New-Item -Path $testDir -ItemType Directory -Force | Out-Null # Наповнити псевдо-файлами 1..5 | ForEach-Object { New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null } # Виконати icacls для надання Everyone повного контролю (це повинно запустити правило) icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C # Пауза для дозволу поглинання даних SIEM Start-Sleep -Seconds 10 # Кінець сценарію -
Команди очищення:
# --------------------------------------------------------------- # Очищення – Видалення тестових зміни ACL та видалення тестових даних # --------------------------------------------------------------- $testDir = "$env:TEMPIcaclsTest" # Скинути дозволи до значень за замовчуванням (видалити надання Everyone) icacls.exe "$testDir*" /reset /T /C # Видалити тестову директорію Remove-Item -Path $testDir -Recurse -Force