Η νέα επιχείρηση ransomware Akira δημιουργεί σιγά-σιγά έναν κατάλογο θυμάτων, καθώς παραβιάζει εταιρικά δίκτυα σε όλο τον κόσμο, κρυπτογραφεί αρχεία και στη συνέχεια απαιτεί λύτρα εκατομμυρίων δολαρίων.
Η Akira, που ξεκίνησε τον Μάρτιο του 2023, ισχυρίζεται ότι έχει ήδη πραγματοποιήσει επιθέσεις σε δεκαέξι εταιρείες σε διάφορους κλάδους, όπως η εκπαίδευση, η χρηματοδότηση, η κτηματομεσιτική βιομηχανία, η μεταποίηση και η παροχή συμβουλών.
Ενώ ένα άλλο ransomware, με την ονομασία Akira, κυκλοφόρησε το 2017, δεν πιστεύεται ότι οι επιχειρήσεις αυτές σχετίζονται μεταξύ τους.
Δείτε επίσης: Νέο KEKW malware μολύνει αρχεία Python Wheel ανοιχτού κώδικα
Ο Akira encryptor
Ένα δείγμα του ransomware Akira ανακαλύφθηκε από την MalwareHunterTeam, η οποία το μοιράστηκε με το BleepingComputer για να το αναλύσει.
Όταν εκτελεστεί, το Akira θα διαγράψει τα Windows Shadow Volume Copies στη συσκευή εκτελώντας την ακόλουθη εντολή PowerShell:
Στη συνέχεια, το ransomware θα προχωρήσει στην κρυπτογράφηση αρχείων που περιέχουν τις ακόλουθες επεκτάσεις αρχείων:
Κατά την κρυπτογράφηση, ο encryptor θα παρακάμψει τα αρχεία που βρίσκονται στο Recycle Bin, στους System Volume Information, Boot, ProgramData, και Windows. Θα αποφύγει επίσης την κρυπτογράφηση των αρχείων συστήματος των Windows με επεκτάσεις αρχείων .exe, .lnk, .dll, .msi και .sys.
Όταν κρυπτογραφεί αρχεία, το ransomware προσθέτει την επέκταση .akira στο όνομα του αρχείου.
Δείτε επίσης: Rochester: Τα σχολεία επιβεβαιώνουν ότι δέχτηκαν επίθεση ransomware
Για παράδειγμα, ένα αρχείο με όνομα 1.doc θα κρυπτογραφηθεί και θα μετονομαστεί σε 1.doc.akira, όπως φαίνεται στον παρακάτω φάκελο που περιέχει τα κρυπτογραφημένα αρχεία.
Το Akira χρησιμοποιεί επίσης το API της Διαχείρισης επανεκκίνησης των Windows για να κλείσει διεργασίες ή να τερματίσει υπηρεσίες των Windows που μπορεί να κρατούν ένα αρχείο ανοιχτό και να εμποδίζουν την κρυπτογράφηση.
Κάθε φάκελος υπολογιστή θα περιέχει ένα σημείωμα λύτρων με το όνομα “akira_readme.txt” που περιλαμβάνει πληροφορίες σχετικά με το τι έχει συμβεί στα αρχεία του θύματος, συνδέσμους προς την τοποθεσία διαρροής δεδομένων “Akira” και μια τοποθεσία διαπραγμάτευσης.
Κάθε θύμα έχει έναν μοναδικό κωδικό πρόσβασης διαπραγμάτευσης που πρέπει να εισάγει στον ιστότοπο Tor του απειλητικού παράγοντα. Σε αντίθεση με πολλές άλλες επιχειρήσεις ransomware, αυτός ο ιστότοπος διαπραγμάτευσης περιλαμβάνει απλώς ένα σύστημα συνομιλίας μέσω του οποίου τα θύματα μπορούν να διαπραγματευτούν με τη συμμορία ransomware.
Δείτε επίσης: Τα press groups Blick και Tamedia έχουν πληγεί από την πρόσφατη κυβερνοεπίθεση στην Ελβετία
Ιστότοπος διαρροής δεδομένων που χρησιμοποιείται για εκβιασμό θυμάτων
Όπως και άλλες επιχειρήσεις ransomware, το Akira θα παραβιάσει ένα εταιρικό δίκτυο και θα εξαπλωθεί πλευρικά σε άλλες συσκευές. Μόλις οι απειλητικοί φορείς αποκτήσουν Windows domain admin credentials, θα αναπτύξουν το ransomware σε όλο το δίκτυο.
Ωστόσο, πριν από την κρυπτογράφηση των αρχείων, οι απειλητικοί φορείς κλέβουν εταιρικά δεδομένα ως μοχλό πίεσης στις απόπειρες εκβιασμού τους, προειδοποιώντας τα θύματα ότι θα τα δημοσιοποιήσουν αν δεν καταβληθούν λύτρα.
Η παρέα της Akira κατέβαλε μεγάλη προσπάθεια στον ιστότοπό της για τη διαρροή δεδομένων, δίνοντάς του μια ρετρό εμφάνιση, όπου οι επισκέπτες μπορούν να περιηγηθούν πληκτρολογώντας εντολές, όπως φαίνεται παρακάτω.
Τη στιγμή που γράφονται αυτές οι γραμμές, το Akira έχει διαρρεύσει δεδομένα για τέσσερα θύματα στον ιστότοπό της για τη διαρροή δεδομένων, με τα μεγέθη των δεδομένων που διέρρευσαν να κυμαίνονται από 5,9 GB για μια εταιρεία έως 259 GB για μια άλλη.
Από τις διαπραγματεύσεις που είδε το BleepingComputer, η συμμορία ransomware απαιτεί λύτρα που κυμαίνονται από 200.000 δολάρια έως εκατομμύρια δολάρια.
Είναι επίσης πρόθυμοι να μειώσουν τις απαιτήσεις λύτρων για εταιρείες που δεν χρειάζονται αποκρυπτογράφο και θέλουν απλώς να αποτρέψουν τη διαρροή κλεμμένων δεδομένων.
Πηγή πληροφοριών: bleepingcomputer.com
