Akira 勒索软件一年内向银行索要 4200 万美元赎金

据 CISA、FBI、欧洲刑警组织和荷兰国家网络安全中心 (NCSC-NL) 称，自 2023 年初以来，Akira 勒索软件已瞄准全球 250 多名受害者，并收取了超过 4200 万美元的赎金。

据观察，Akira 勒索软件的运营者正在攻击各个领域的组织，包括服务和商品、制造业、教育、建筑、关键基础设施、金融、医疗保健和法律行业。

Akira 最初专注于 Windows 系统，自 2023 年 4 月起，其范围已扩大到感染 VMware ESXi 虚拟机，并且自 2023 年 8 月起与 Megazord 结合使用，正如 CISA、FBI、欧洲刑警组织和 NCSC-NL 在一份咨询报告中强调的那样。

为了获得初始访问权限，Akira 勒索软件的运营者瞄准了缺乏多因素身份验证的 VPN 服务，主要利用思科产品中已知的漏洞（例如 CVE-2020-3259 和 CVE-2023-20269）。他们还利用远程桌面协议 (RDP)、鱼叉式网络钓鱼和窃取的凭据来破坏受害者的环境。

获得访问权限后，威胁行为者创建了新的域帐户以实现持久性，在某些情况下包括管理帐户，提取凭据，并进行网络和域控制器侦察。

操纵 Akira 的威胁行为者运行两种不同的变体

根据可靠的第三方调查，Akira 威胁行为者被发现在同一攻击事件中部署了两种不同的勒索软件变体，针对不同的系统架构。该通报指出，这与之前报道的 Akira 勒索软件活动有所不同。

为了在网络内进行横向移动，Akira 操作员禁用了安全软件以逃避检测。他们还使用 FileZilla、WinRAR、WinSCP 和 RClone 等工具进行数据泄露，并使用 AnyDesk、Cloudflare Tunnel、MobaXterm、Ngrok 和 RustDesk 建立命令和控制 (C&C) 通信。

与其他勒索软件组织类似，Akira 会在加密之前窃取受害者的数据。受害者被指示通过基于 Tor 的网站联系攻击者，随后被要求用比特币支付赎金。

CISA、FBI、欧洲刑警组织和 NCSC-NL 指出，为了施加进一步的压力，Akira 威胁行为者威胁在 Tor 网络上发布窃取的数据，甚至在某些情况下联系了受害公司。