Эксперты изучают вымогательскую группировку Akira, которая скомпрометировала как минимум 63 организации с марта 2023 года, в основном атакуя малый и средний бизнес.
Аналитики компании полагают, что за Akira могут стоять несколько человек, связанных с уже неактивной группировкой Conti.
Как уже было сказано выше, в основном Akira атакует малый и средний бизнес, и жертвами шифровальщика становятся компании по всему миру, хотя основное внимание хакеры уделяют целям в США и Канаде.
Обычно Akira проникает в целевые системы под управлением Windows и Linux через VPN-сервисы, особенно если пользователи не включили многофакторную аутентификацию. Чтобы получить доступ к устройствам жертв, злоумышленники используют скомпрометированные учетные данные, которые, скорее всего, покупают в даркнете.
Как только система заражена, Akira стремится удалить резервные копии, которые можно использовать для восстановления данных, а затем вымогатель шифрует файлы с определенными расширениями, добавляя к каждому из них расширение «.akira».
Послание с требованием выкупа, которое злоумышленники оставляют в системе, написано на английском языке, но содержит множество ошибок. В этом сообщении группировка утверждает, что не хочет причинять жертве серьезный финансовый ущерб, и размер выкупа будет определен исходя из доходов и сбережений пострадавшей компании. Обычно Akira требует выкуп в размере от 200 000 до 4 000 000 долларов США.
Эксперты отмечают, что Akira использует тактику «двойного вымогательства», не только шифруя данные жертв, но и похищая информацию из скомпрометированных систем до шифрования. После этого злоумышленники угрожают опубликовать или продать эти данные другим преступникам, если не получат выкуп.
По словам исследователей, программа-вымогатель Akira во многом похожа на Conti. Малварь игнорирует те же типы файлов и каталоги, а также использует аналогичный алгоритм шифрования. Но стоит учитывать, что в начале 2022 года иcходники Conti , и теперь атрибуция атак стала более сложной.
Еще в июне исследователи из Avast о вероятной связи Akira с Conti, заявив, что создатели нового вымогателя как минимум «вдохновлялись утекшими исходными кодами Conti».
Стоит отметить, что ранее в этом месяце Avast выпустила для дешифровки файлов, пострадавших в результате атак Akira. Пока инструмент работает только в Windows, и после его релиза операторы малвари изменили процедуру шифрования, чтобы предотвратить бесплатное восстановление файлов.
Исследователи Arctic Wolf, в свою очередь, сосредоточились на блокчейн-анализе и обнаружили три подозрительные транзакции, в рамках которых пользователи Akira перечислили более 600 000 долларов на адреса, связанные с Conti. По словам экспертов, два обнаруженных кошелька ранее уже связывали с руководством Conti, причем на один из них поступали платежи от нескольких семейств вымогателей.
Аналитики компании полагают, что за Akira могут стоять несколько человек, связанных с уже неактивной группировкой Conti.
Как уже было сказано выше, в основном Akira атакует малый и средний бизнес, и жертвами шифровальщика становятся компании по всему миру, хотя основное внимание хакеры уделяют целям в США и Канаде.
Обычно Akira проникает в целевые системы под управлением Windows и Linux через VPN-сервисы, особенно если пользователи не включили многофакторную аутентификацию. Чтобы получить доступ к устройствам жертв, злоумышленники используют скомпрометированные учетные данные, которые, скорее всего, покупают в даркнете.
Как только система заражена, Akira стремится удалить резервные копии, которые можно использовать для восстановления данных, а затем вымогатель шифрует файлы с определенными расширениями, добавляя к каждому из них расширение «.akira».
Послание с требованием выкупа, которое злоумышленники оставляют в системе, написано на английском языке, но содержит множество ошибок. В этом сообщении группировка утверждает, что не хочет причинять жертве серьезный финансовый ущерб, и размер выкупа будет определен исходя из доходов и сбережений пострадавшей компании. Обычно Akira требует выкуп в размере от 200 000 до 4 000 000 долларов США.
Эксперты отмечают, что Akira использует тактику «двойного вымогательства», не только шифруя данные жертв, но и похищая информацию из скомпрометированных систем до шифрования. После этого злоумышленники угрожают опубликовать или продать эти данные другим преступникам, если не получат выкуп.
По словам исследователей, программа-вымогатель Akira во многом похожа на Conti. Малварь игнорирует те же типы файлов и каталоги, а также использует аналогичный алгоритм шифрования. Но стоит учитывать, что в начале 2022 года иcходники Conti , и теперь атрибуция атак стала более сложной.
Еще в июне исследователи из Avast о вероятной связи Akira с Conti, заявив, что создатели нового вымогателя как минимум «вдохновлялись утекшими исходными кодами Conti».
Стоит отметить, что ранее в этом месяце Avast выпустила для дешифровки файлов, пострадавших в результате атак Akira. Пока инструмент работает только в Windows, и после его релиза операторы малвари изменили процедуру шифрования, чтобы предотвратить бесплатное восстановление файлов.
Исследователи Arctic Wolf, в свою очередь, сосредоточились на блокчейн-анализе и обнаружили три подозрительные транзакции, в рамках которых пользователи Akira перечислили более 600 000 долларов на адреса, связанные с Conti. По словам экспертов, два обнаруженных кошелька ранее уже связывали с руководством Conti, причем на один из них поступали платежи от нескольких семейств вымогателей.
