$42 млн и 250 жертв: CISA поделилась неутешительной статистикой по вымогательской группе Akira

За последний год хакерская группа «Akira», занимающаяся распространением вымогательского программного обеспечения, атаковала свыше 250 организаций и нанесла ущерб критической инфраструктуре в Северной Америке, Европе и Австралии, о чём недавно сообщили представители CISA, ФБР и европейских правоохранительных органов. С марта 2023 года группа заработала на вымогательстве примерно 42 миллиона долларов.

Изначально группировка атаковала только Windows-системы, но позже стала также активно использовать Linux-версии вредоносов для атаки на виртуальные машины VMware ESXi, широко распространённые в крупных компаниях.

Для получения доступа к корпоративным сетям «Akira» обычно использует известные уязвимости, такие как CVE-2020-3259 и CVE-2023-20269, а также методы фишинга и прочие инструменты. После проникновения в сеть злоумышленники отключают программное обеспечение безопасности жертвы, чтобы незаметно перемещаться по её сети.

По информации правоохранительных органов, хакеры используют различные инструменты, включая легитимные программы FileZilla, WinRAR и AnyDesk. Злоумышленники из «Akira» обычно не оставляют первоначальных требований о выкупе или инструкций по оплате, начиная переговоры только после непосредственного контакта с жертвой.

Выкупы всегда выплачиваются в биткойнах на адреса криптокошельков, предоставленные злоумышленниками. Для усиления давления группа также угрожает опубликовать украденные данные в открытом доступе, а в некоторых случаях и вовсе звонит в офис атакованных компаний и запугивает своих жертв по телефону.

За короткое время с начала своей деятельности группа совершила большое количество атак. Например, в этом году хакеры «Akira» взяли на себя ответственность за атаки на крупных поставщиков облачных услуг, университеты, правительственные и банковские учреждения. Всё это позволяет экспертам предположить, что группировка состоит из опытных специалистов в сфере кибервымогательства.

Исследователи из компании Arctic Wolf проанализировали некоторые транзакции с криптовалютами, связанные с деятельностью «Akira», и выяснили, что используемые злоумышленниками адреса кошельков определённым образом связаны с ныне несуществующей группировкой «Conti».

Несмотря на выпуск дешифровщика для затронутых программой-вымогателем «Akira» файлов в июне прошлого года, группировка смогла быстро устранить уязвимости шифрования в своём ПО и вскоре продолжила атаки с новой силой.