Kelompok Ransomware Akira Mengekstorsi $42 Juta; Sekarang Menargetkan Server Linux

Kelompok Ransomware Akira Mengekstorsi $42 Juta; Sekarang Menargetkan Server Linux

Posted by : Admin , Apr 25, 2024
Pelaku ancaman di balik kelompok ransomware Akira telah memeras sekitar $42 juta dalam pendapatan ilegal setelah berhasil meretas jaringan lebih dari 250 korban pada tanggal 1 Januari 2024.

"Sejak Maret 2023, ransomware Akira telah berdampak pada berbagai bisnis dan entitas infrastruktur kritis di Amerika Utara, Eropa, dan Australia," agensi keamanan Siber dari Belanda dan Amerika Serikat, bersama dengan European Cybercrime Centre (EC3) Europol, mengatakan dalam peringatan bersama.

"Pada April 2023, setelah fokus awal pada sistem Windows, para pelaku ancaman Akira menggunakan varian Linux yang menargetkan mesin virtual VMware ESXi."

Kelompok double-extortion ini telah diamati menggunakan varian locker berbasis C++ pada tahap awal, sebelum beralih ke kode berbasis Rust sejak Agustus 2023. Perlu dicatat bahwa pelaku e-kejahatan ini sepenuhnya berbeda dari keluarga ransomware Akira yang aktif pada tahun 2017.

Akses awal ke jaringan target dipermudah dengan memanfaatkan kerentanan yang diketahui pada perangkat Cisco (misalnya, CVE-2020-3259 dan CVE-2023-20269).

Vektor alternatif melibatkan penggunaan Remote Desktop Protocol (RDP), spear-phishing, kredensial yang valid, dan layanan jaringan pribadi virtual (VPN) yang kurang memiliki perlindungan otentikasi multi-faktor (MFA).

Para pelaku Akira juga dikenal menggunakan berbagai cara untuk mempertahankan persistensi dengan membuat akun domain baru pada sistem yang terinfeksi, serta menghindari deteksi dengan menyalahgunakan driver Zemana AntiMalware untuk menghentikan proses terkait antivirus melalui apa yang disebut serangan Bring Your Own Vulnerable Driver (BYOVD).

Untuk membantu dalam eskalasi hak istimewa, penyerang mengandalkan alat penggosok kredensial seperti Mimikatz dan LaZagne, sementara RDP Windows digunakan untuk bergerak lateral dalam jaringan korban. Eksfiltrasi data dilakukan melalui FileZilla, WinRAR, WinSCP, dan RClone.

"Ransomware Akira mengenkripsi sistem yang ditargetkan menggunakan algoritma enkripsi hibrid yang menggabungkan Chacha20 dan RSA," kata Trend Micro dalam analisis ransomware yang diterbitkan pada Oktober 2023.

"Selain itu, biner ransomware Akira, seperti kebanyakan biner ransomware modern, memiliki fitur yang memungkinkannya untuk menghambat pemulihan sistem dengan menghapus salinan bayangan dari sistem yang terkena."

Beberapa contoh juga melibatkan geng yang memiliki motif finansial untuk mengirimkan dua varian ransomware yang berbeda terhadap arsitektur sistem yang berbeda - yaitu, enkripsi Windows dan ESXi (Akira_v2) - dalam satu peristiwa kompromi yang sama.

Data blockchain dan kode sumber menunjukkan bahwa kelompok ransomware Akira kemungkinan terafiliasi dengan geng ransomware Conti yang sudah tidak aktif. Decryptor untuk Akira dirilis oleh Avast bulan Juli lalu, tetapi sangat mungkin kerentanannya telah ditutup sejak itu.

Sumber : https://thehackernews.com/2024/04/akira-ransomware-gang-extorts-42.html