Akira
Le groupe Akira Ransomware est connu pour son "esthétique rétro" et pour exploiter principalement les vulnérabilités des services VPN et les failles connues de Cisco.
L'origine du ransomware Akira
Le groupe de ransomwares Akira, observé pour la première fois en mars 2023, est connu pour ses attaques sophistiquées de ransomwares ciblant divers secteurs d'activité dans le monde entier. Des spéculations circulent sur ses liens avec l'ancien groupe de ransomwares CONTI, car plusieurs affiliés de CONTI ont migré vers des campagnes indépendantes comme Royal, BlackBasta et potentiellement Akira après que CONTI a cessé ses activités. Ce groupe fonctionne selon le modèle RaaS (Ransomware-as-a-Service), qui permet aux affiliés d'utiliser le ransomware en échange d'une part des paiements de la rançon.
Des rapports suggèrent que les affiliés d'Akira travaillent également avec d'autres opérations de ransomware telles que Snatch et BlackByte, comme en témoigne un répertoire ouvert d'outils utilisés par un opérateur d'Akira qui avait des liens avec le ransomware Snatch. La première version du ransomware Akira était écrite en C++ et ajoutait aux fichiers l'extension ".akira", créant une note de rançon nommée "akira_readme.txt", qui était partiellement basée sur le code source de Conti V2. Le 29 juin 2023, un décrypteur pour cette version aurait été publié par Avast en raison d'une faille dans son mécanisme de cryptage.
Par la suite, le 2 juillet 2023, une nouvelle version a été publiée pour corriger la faille de décryptage. Cette version serait écrite en Rust, nommée " megazord.exe ", et changerait l'extension des fichiers chiffrés en " .powerranges ". La plupart des vecteurs d'accès initiaux d'Akira impliquent des tentatives de force brute sur les dispositifs VPN de Cisco qui utilisent une authentification à facteur unique, ce qui les rend vulnérables à un accès non autorisé. En outre, le groupe a été identifié en train d'exploiter des vulnérabilités connues - notamment CVE-2019-6693 et CVE-2022-40684 - pourobtenir un accès initial aux systèmes cibles.
L'origine d'Akira n'est pas claire, mais ses activités suggèrent un niveau élevé d'expertise technique et d'organisation.
Cartographie : OCD
Cibles
Les cibles du ransomware Akira
Pays visés par Akira
Akira a fait preuve d'une portée mondiale, avec des attaques confirmées en Amérique du Nord, en Europe et en Asie. Son mode de ciblage aveugle suggère qu'il se concentre sur l'exploitation des systèmes vulnérables, indépendamment de leur emplacement géographique.
Source de l'image : Ransomware.live
Industries visées par Akira
Le ransomware Akira a ciblé un large éventail de secteurs, notamment la santé, les services financiers, l'éducation et l'industrie. Leurs attaques ont perturbé des services et des opérations critiques, causant d'importants préjudices financiers et de réputation aux organisations touchées.
Source de la capture d'écran : Cyble
Industries visées par Akira
Le ransomware Akira a ciblé un large éventail de secteurs, notamment la santé, les services financiers, l'éducation et l'industrie. Leurs attaques ont perturbé des services et des opérations critiques, causant d'importants préjudices financiers et de réputation aux organisations touchées.
Source de la capture d'écran : Cyble
Les victimes d'Akira
Plus de 341 victimes ont été ciblées par Akira. Parmi les victimes les plus connues figurent de grandes institutions de soins de santé, des universités de premier plan et des entreprises financières de premier plan. Ces attaques aboutissent souvent à l'exfiltration de données sensibles, qui sont ensuite utilisées pour pousser les victimes à payer la rançon.
Source : ransomware.live
Méthode d'attaque
Méthode d'attaque d'Akira
Akira obtient généralement un accès initial par le biais de courriels phishing , en exploitant les vulnérabilités des applications publiques ou en tirant parti d'informations d'identification compromises. Ils utilisent souvent le spear-phishing pour cibler des personnes spécifiques au sein des organisations.
Une fois dans le réseau, Akira utilise diverses techniques pour escalader les privilèges, comme l'exploitation de vulnérabilités connues et l'utilisation d'outils administratifs légitimes pour obtenir un accès de niveau supérieur.
Pour éviter d'être détecté, Akira utilise des techniques d'évasion sophistiquées, notamment la désactivation des logiciels de sécurité, l'utilisation de l'obscurcissement et la suppression des journaux afin de brouiller les pistes.
Akira recueille des informations d'identification par le biais de l'enregistrement des frappes, de la vidange d'informations d'identification et de l'utilisation d'outils tels que Mimikatz pour récupérer les mots de passe des systèmes infectés.
Le groupe effectue une reconnaissance approfondie pour cartographier le réseau, identifier les actifs critiques et comprendre la structure de l'organisation. Il utilise à cette fin des outils tels que PowerShell et des scripts personnalisés.
Akira se déplace latéralement sur le réseau en utilisant des informations d'identification compromises, en exploitant les relations de confiance et en utilisant des outils tels que RDP et SMB pour se propager.
La collecte de données consiste à recueillir des informations sensibles, de la propriété intellectuelle et des données personnelles, qui sont ensuite exfiltrées à des fins d'extorsion.
La charge utile du ransomware est exécutée, chiffrant les fichiers sur les systèmes de la victime. Akira utilise des algorithmes de chiffrement robustes pour s'assurer que les fichiers ne peuvent pas être récupérés sans la clé de déchiffrement.
Avant le chiffrement, Akira exfiltre les données sensibles vers des serveurs externes sous leur contrôle, en utilisant des canaux de communication chiffrés pour éviter d'être détecté.
La phase d'impact implique la finalisation du cryptage et la remise de la note de rançon, qui exige un paiement en échange de la clé de décryptage et de la promesse de supprimer les données exfiltrées.
Accès Initial
Akira obtient généralement un accès initial par le biais de courriels phishing , en exploitant les vulnérabilités des applications publiques ou en tirant parti d'informations d'identification compromises. Ils utilisent souvent le spear-phishing pour cibler des personnes spécifiques au sein des organisations.
Élévation de privilèges
Une fois dans le réseau, Akira utilise diverses techniques pour escalader les privilèges, comme l'exploitation de vulnérabilités connues et l'utilisation d'outils administratifs légitimes pour obtenir un accès de niveau supérieur.
Défense Evasion
Pour éviter d'être détecté, Akira utilise des techniques d'évasion sophistiquées, notamment la désactivation des logiciels de sécurité, l'utilisation de l'obscurcissement et la suppression des journaux afin de brouiller les pistes.
Accès aux identifiants
Akira recueille des informations d'identification par le biais de l'enregistrement des frappes, de la vidange d'informations d'identification et de l'utilisation d'outils tels que Mimikatz pour récupérer les mots de passe des systèmes infectés.
Découverte
Le groupe effectue une reconnaissance approfondie pour cartographier le réseau, identifier les actifs critiques et comprendre la structure de l'organisation. Il utilise à cette fin des outils tels que PowerShell et des scripts personnalisés.
Mouvement latéral
Akira se déplace latéralement sur le réseau en utilisant des informations d'identification compromises, en exploitant les relations de confiance et en utilisant des outils tels que RDP et SMB pour se propager.
Collection
La collecte de données consiste à recueillir des informations sensibles, de la propriété intellectuelle et des données personnelles, qui sont ensuite exfiltrées à des fins d'extorsion.
Exécution
La charge utile du ransomware est exécutée, chiffrant les fichiers sur les systèmes de la victime. Akira utilise des algorithmes de chiffrement robustes pour s'assurer que les fichiers ne peuvent pas être récupérés sans la clé de déchiffrement.
Exfiltration
Avant le chiffrement, Akira exfiltre les données sensibles vers des serveurs externes sous leur contrôle, en utilisant des canaux de communication chiffrés pour éviter d'être détecté.
Impact
La phase d'impact implique la finalisation du cryptage et la remise de la note de rançon, qui exige un paiement en échange de la clé de décryptage et de la promesse de supprimer les données exfiltrées.
MITRE ATT&CK Mapping
TTP utilisées par Akira
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1136
Create Account
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
T1219
Remote Access Software
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter Akira avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le ransomware Akira ?
Le ransomware Akira est un malware sophistiqué utilisé par les cybercriminels pour crypter des fichiers et extorquer des rançons aux victimes.
Comment Akira accède-t-il aux réseaux ?
Akira obtient un accès initial par le biais de courriels phishing , en exploitant des vulnérabilités et en utilisant des informations d'identification compromises.
Quels sont les secteurs d'activité ciblés par Akira ?
Akira s'adresse à un large éventail de secteurs, notamment les soins de santé, les services financiers, l'éducation et l'industrie.
Quelles sont les techniques utilisées par Akira pour échapper à la détection ?
Akira utilise des techniques telles que la désactivation des logiciels de sécurité, l'obscurcissement et la suppression des journaux pour échapper à la détection.
Comment Akira escalade-t-il les privilèges au sein d'un réseau ?
Akira exploite des vulnérabilités connues et utilise des outils administratifs légitimes pour obtenir un accès de haut niveau.
Quel type de données Akira exfiltre-t-il ?
Akira exfiltre les informations sensibles, la propriété intellectuelle et les données personnelles avant de chiffrer les fichiers.
Comment Akira crypte-t-il les fichiers ?
Akira utilise des algorithmes de chiffrement robustes pour s'assurer que les fichiers ne peuvent pas être récupérés sans la clé de déchiffrement.
Quel est l'impact d'une attaque par le ransomware Akira ?
L'impact comprend le cryptage des données, l'interruption des services et les pertes financières dues au paiement des rançons et aux efforts de récupération.
Le ransomware Akira peut-il être détecté et arrêté ?
La détection et la prévention nécessitent des mesures de sécurité solides, notamment des solutions de détection et de réponse étendues (XDR), des mises à jour régulières des logiciels et la formation des employés.
Que doivent faire les organisations si elles sont infectées par le ransomware Akira ?
Les organisations doivent déconnecter les systèmes affectés, signaler l'incident aux autorités et demander une assistance professionnelle en matière de cybersécurité pour limiter les dégâts et récupérer les données.