Ce groupe Bitcoin Ransomware draine 42 millions de dollars

Le Federal Bureau of Investigation (FBI) des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA), le National Cyber ​​Security Center des Pays-Bas (NCSC-NL) et le European Cybercrime Center (EC3) d'Europol ont émis un avertissement commun concernant le ransomware Akira.

Le groupe est responsable d'attaques contre plus de 250 entreprises et entités d'infrastructures critiques depuis mars 2023, principalement en Amérique du Nord, en Europe et en Australie.

L'évolution et les techniques d'attaque d'Akira

Les auteurs de la menace Akira ont collecté environ 42 millions de dollars de rançons au 1er janvier 2024. Ils ont ciblé divers secteurs, suscitant d’importantes inquiétudes pour les organisations du monde entier.

Initialement écrit en C++, Akira chiffrait à l'origine les fichiers avec une extension.akira. Toutefois, des variantes sont apparues. À partir d’août 2023, le groupe a déployé le ransomware Megazord basé sur Rust, ajoutant une extension.powerranges à ses fichiers cryptés. Certaines attaques impliquent désormais le déploiement de variantes Megazord et Akira pour un impact accru.

Lire la suite : Principales escroqueries aux crypto-monnaies en 2024

Le FBI et les chercheurs en cybersécurité ont retracé les premières méthodes d'accès d'Akira. Généralement, ils exploitent les vulnérabilités connues des services VPN Cisco dépourvus d'authentification multifacteur (MFA). Ils accèdent également via des protocoles de bureau à distance, du spear phishing et des informations d'identification compromises.

Une fois à l'intérieur d'un réseau, les attaquants d'Akira créent de nouveaux comptes de domaine pour maintenir la persistance. Ils exploitent ensuite des outils de récupération d’informations d’identification comme Mimikatz pour élever leurs privilèges. La reconnaissance du système et l'identification des contrôleurs de domaine sont effectuées à l'aide d'outils tels que SoftPerfect et Advanced IP Scanner, ainsi que de commandes Windows natives.

Les acteurs d'Akira désactivent fréquemment les logiciels de sécurité avant de se déplacer latéralement sur des réseaux compromis. PowerTool a été observé en train de désactiver les processus antivirus pour échapper à la détection.

Pour voler des données sensibles, les opérateurs d'Akira utilisent largement des outils d'exfiltration tels que FileZilla, WinSCP et les services de stockage cloud. Ils établissent des canaux de commande et de contrôle avec AnyDesk, RustDesk et Cloudflare Tunnel.

Ils ne précisent pas le montant initial de la rançon, ce qui pousse les victimes à négocier.

Les paiements de rançon sont effectués en Bitcoin aux adresses de portefeuilles cryptographiques fournies par les auteurs de la menace.

En outre, pour exercer une pression supplémentaire, les auteurs de la menace Akira menacent de publier les données exfiltrées sur le réseau Tor et, dans certains cas, ont appelé les entreprises victimes, selon les rapports du FBI.

Le FBI, la CISA, l'EC3 et le NCSC-NL ont publié des recommandations complètes sur les techniques de découverte du système et du réseau des acteurs malveillants d'Akira. La mise en œuvre de ces mesures d’atténuation peut réduire considérablement le risque de réussite d’une attaque.

« En plus d'appliquer des mesures d'atténuation, le FBI, la CISA, l'EC3 et le NCSC-NL recommandent d'exercer, de tester et de valider le programme de sécurité de votre organisation par rapport aux comportements de menace mappés au cadre MITRE ATT&CK for Enterprise dans cet avis », a écrit la CISA dans son rapport. rapport.

Lire la suite  : Les 5 principales failles de la sécurité cryptographique et comment les éviter

Selon un rapport Chainalysis de février 2024, les attaques de ransomwares se sont intensifiées en 2023, avec 1 milliard de dollars extorqués aux victimes. Cela met en évidence la cybermenace croissante et la nécessité pour les organisations de renforcer leurs cyberdéfenses.

engage à fournir des rapports impartiaux et transparents Veuillez noter que nos conditions générales