Le Federal Bureau of Investigation (FBI), l'Agence de cybersécurité et de sécurité des infrastructures (CISA), le Centre national de cybersécurité des Pays-Bas (NCSC-NL) et le Centre européen de cybercriminalité (EC3) d'Europol ont émis un avertissement commun concernant le ransomware Akira. .
Le groupe est responsable d’attaques contre plus de 250 entreprises et entités d’infrastructures critiques depuis mars 2023, principalement en Amérique du Nord, en Europe et en Australie.
L'évolution d'Akira et ses techniques d'attaque
Les auteurs de la menace Akira ont amassé environ 42 millions de dollars de rançons au 1er janvier 2024. Ils ont ciblé diverses industries, suscitant d'importantes inquiétudes pour les organisations du monde entier.
Initialement écrit en C++, Akira chiffrait à l'origine les fichiers avec l'extension .akira. Toutefois, des variantes sont apparues. À partir d’août 2023, le groupe a distribué le ransomware Megazord basé sur Rust, en ajoutant une extension .powerranges à ses fichiers cryptés. Certaines attaques impliquent désormais le déploiement de variantes Megazord et Akira pour un plus grand impact.
Lire la suite : Principales escroqueries aux crypto-monnaies en 2024
Les chercheurs du FBI et de la cybersécurité ont retracé les méthodes d'accès initiales d'Akira. Ils exploitent généralement les vulnérabilités connues des services VPN Cisco dépourvus d'authentification multifacteur (MFA). De plus, ils accèdent via des protocoles de bureau à distance, du spear phishing et des informations d’identification compromises.
Une fois à l'intérieur d'un réseau, les attaquants d'Akira créent de nouveaux comptes de domaine pour maintenir la persistance. Ils exploitent ensuite des outils de récupération d’informations d’identification comme Mimikatz pour élever leurs privilèges. La reconnaissance du système et l'identification du contrôleur de domaine sont effectuées à l'aide d'outils tels que SoftPerfect et Advanced IP Scanner, ainsi que de commandes Windows natives.
Les auteurs d'Akira désactivent souvent les logiciels de sécurité avant de se déplacer latéralement sur des réseaux compromis. Il a été observé que PowerTool désactivait les processus antivirus pour échapper à la détection.
Pour voler des données sensibles , les opérateurs d'Akira utilisent largement des outils d'exfiltration tels que FileZilla, WinSCP et des services de stockage cloud. Ils établissent des canaux de commande et de contrôle avec AnyDesk, RustDesk et Cloudflare Tunnel.
Fidèles au modèle de double extorsion, les acteurs d’Akira chiffrent les systèmes après avoir volé des données. Leur demande de rançon comprend un code unique et une URL .onion pour les contacter. Ils ne précisent pas le montant initial de la rançon, ce qui incite les victimes à négocier.
Les paiements de rançon sont effectués en Bitcoin aux adresses de portefeuilles cryptographiques fournies par les acteurs de la menace.
De plus, pour exercer davantage de pression, les auteurs de la menace Akira menacent de publier les données volées sur le réseau Tor et, dans certains cas, ont appelé les entreprises victimes, a rapporté le FBI.
Le FBI, la CISA, l'EC3 et le NCSC-NL ont publié des recommandations complètes concernant le système des acteurs malveillants d'Akira et les techniques de détection du réseau. La mise en œuvre de ces mesures d’atténuation peut réduire considérablement le risque de réussite d’une attaque.
"En plus d'appliquer des mesures d'atténuation, le FBI, la CISA, l'EC3 et le NCSC-NL recommandent d'exercer, de tester et de valider le programme de sécurité de votre organisation par rapport aux comportements de menace mappés au cadre MITRE ATT&CK for Enterprise dans cet avis", a écrit la CISA dans le son rapport .
Lire la suite : Les 5 principales failles de sécurité cryptographique et comment les éviter
Selon un rapport Chainalysis de février 2024, les attaques de ransomwares se sont intensifiées en 2023 , avec 1 milliard de dollars extorqués aux victimes. Cela met en évidence la cybermenace croissante et la nécessité pour les organisations d' améliorer leurs cyberdéfenses .
Le message du FBI met en garde contre un ransomware Bitcoin lié à une extorsion de 42 millions de dollars apparaît en premier sur BeInCrypto .