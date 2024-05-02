Segurança

Este artigo foi possível graças às contribuições de Aaron Gdanski.

As equipes IBM X-Force Incident Response and Threat Intelligence investigaram diversos ataques de ransomware Akira desde que esse grupo de atores de ameaça surgiu em março de 2023. Este blog compartilha a perspectiva exclusiva da X-Force sobre o Akira, obtida a partir da observação dos atores por trás desse ransomware, incluindo comandos usados para implantar o ransomware, a exploração ativa da CVE-2023-20269 e a análise do binário do ransomware.

O grupo de ransomware Akira ganhou notoriedade no atual cenário de cibersegurança, evidenciada pelo recente Alerta de Cibersegurança da Cybersecurity and Infrastructure Security Agency (CISA) sobre o grupo e pelas centenas de vítimas que os agentes do ransomware Akira alegam ter feito em diversos setores e geografias.

Os agentes de ameaça do Akira empregam um esquema de dupla extorsão que envolve tanto a exfiltração de dados quanto a criptografia em toda a organização. Os afiliados do Akira exigem o pagamento de um resgate para impedir que o grupo publique arquivos em seu site onion e para receber uma chave de descriptografia que permita recuperar os arquivos afetados. O nome do grupo parece ser uma alusão ao enredo de um filme de anime de 1988 com o mesmo nome.

Principais conclusões

  • O ransomware Akira usa as seguintes cadeias de caracteres, que podem ser usadas para detecção:
    • Windows Akira
      • *.akira
      • akira_readme.txt
      • Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt
      • powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject”
    • Linux Akira
      • *.akira
      • akira_readme.txt
  • Os agentes do ransomware Akira estão frequentemente explorando o CVE-2023-20269 para conseguir o acesso inicial às redes das vítimas.
  • O gerenciamento de vulnerabilidades, o gerenciamento de senhas e o monitoramento das ameaças da dark web podem ajudar as organizações a fortalecer as defesas contra o ransomware Akira

Ativo na dark web

Os agentes do ransomware Akira implementaram dois sites na dark web — ambos são arquivos .onion locais mencionados na nota de resgate deixada pelo Akira após cada ataque. Os sites são estilizados de forma que remontam à ARPANET no início dos anos 1980.

O primeiro site inclui informações gerais sobre o grupo de ransomware, anuncia registros roubados das vítimas do grupo, inclui notícias sobre possíveis liberações de dados e identifica formas de entrar em contato com o grupo.

Captura de tela do site da dark web (.onion) do ransomware Akira

Figura 1: site de exposição (“name-and-shame”) na dark web .onion do ransomware Akira (Fonte: pesquisa da dark web da X-Force)

O segundo site é usado para negociações. Para acessar este site, o usuário precisa inserir uma senha incluída na nota de resgate como um identificador exclusivo.

Captura de tela do site da dark web portal de negociações da dark web

Figura 2: portal de negociações na dark web (.onion) do ransomware Akira (Fonte: pesquisa da dark web da X-Force)

Após obter acesso, o portal de negociação exibe uma mensagem informando à vítima que o grupo Akira está preparando uma amostra de dados roubados da organização da vítima. Esse processo pode ser manual para o agente de ameaças, baseado no tempo que parece levar. Quando estiver pronto, o grupo de ameaças anexará um arquivo que inclui uma lista de pastas e arquivos exfiltrados durante a operação em um esforço para provar à vítima que os agentes do Akira roubaram arquivos autênticos antes da criptografia ocorrer.

Captura de tela do bate-papo de suporte do Akira no portal de negociações da dark web

Figura 3: bate-papo de suporte do Akira no portal de negociações da dark web (fonte: Lab539)

Um vetor de acesso ideal: CVE-2023-20269

Após a CVE-2023-20269 ter sido divulgada no início de setembro de 2023, os agentes de ameaças do ransomware Akira aproveitaram amplamente para exploração dessa vulnerabilidade na natureza. A CVE-2023-20269 afeta as funcionalidades de rede privada virtual (VPN) do Cisco Adaptive Security Appliance (ASA) e do Firepower Threat Defense (FTD), permitindo que invasores remotos não autorizados realizem ataques de força bruta contra contas existentes.

Um pacote de ferramentas

Após o acesso inicial, o grupo emprega uma variedade de ferramentas e malware para reconhecimento, exfiltração de dados, movimentação lateral e scripts especialmente criados para espalhar o binário do ransomware pela rede.

Figura 4: conjunto de ferramentas usadas pelos agentes do ransomware Akira (fonte: X-Force)

Ao contrário de algumas famílias de ransomware com módulos de comportamento de worm para propagação ou replicação sem interação humana, o ransomware Akira exige um procedimento ativo para espalhar a infecção nas redes. As opções comuns são o uso de políticas de controlador de domínio, se o agente de ameaças atingir esse nível de acesso, ou o uso de funcionalidades incorporadas no binário do Akira acionados por scripts em lote ou bash.

A X-Force observou que os agentes do ransomware Akira usam scripts em lote com o seguinte padrão após concluir as atividades de reconhecimento:

“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”

  • O comando start é usado para criar uma nova instância e  , consequentemente, uma nova thread de processo para executar cada instrução de forma independente
  • Em muitos casos, os binários encontrados foram especialmente criados pelo agente de ameaças, e seus IOCs não haviam sido vistos anteriormente em nenhum feed de inteligência de ameaças
  • O argumento com -p é alimentado com os diferentes destinos de IP e leva as localizações mapeadas a serem criptografadas
  • O agente de ameaças parece estar usando funcionalidades existentes para fazer com que a atividade pareça legítima

O binário do ransomware Akira cria um arquivo de texto localizado no diretório atual onde ocorreu a execução.

Análise de malware do ransomware Akira

A IBM X-Force analisou binários do Windows e Linux para o ransomware Akira. As versões Linux e Windows do Akira funcionam de forma semelhante, com a principal diferença sendo as bibliotecas usadas para suportar operações criptográficas. O Akira acrescenta a extensão .akira ao nome dos arquivos criptografados e envia um pedido de resgate em cada diretório onde os arquivos são criptografados. A nota de resgate contém um link TOR e um código que a vítima pode usar para fazer login em um sistema de chat para negociar o resgate.

Em uma instância, o arquivo de ransomware Akira foi compilado no final de dezembro de 2023, particularmente 2023-12-28 14:49:57 UTC, e desenvolvido em C++.

Captura de tela da data e hora da compilação do ransomware Akira

Figura 5: Data e hora da compilação do ransomware Akira—28 de dezembro de 2023 (fonte: X-Force)

Após a execução, o Akira Ransomware criará um arquivo de registro no diretório atual. O nome do arquivo de log é baseado na hora local atual do sistema, no seguinte formato: “Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt”. Se ocorrer um erro durante a criptografia de um arquivo, o Akira escreverá uma mensagem de erro no arquivo de log. Informações adicionais sobre os parâmetros de linha de comando do programa também são gravadas no arquivo de log. Assim que o arquivo de log for criado, o Akira começará a analisar seus argumentos de linha de comando. Os seguintes argumentos de linha de comando são aceitos pela versão para Windows do Akira:

Figura 6: Argumentos de linha de comando usados pelo ransomware Akira (fonte: X-Force)

Depois que os argumentos da linha de comando forem analisados, o Akira excluirá todas as cópias de sombra usando o comando do PowerShell: “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””. Esse comando é executado usando objetos de modelo de objeto componente (COM) para evitar a detecção. Além disso, o Akira pode tentar encerrar processos com os seguintes nomes:

Figura 7: Processos que o ransomware Akira tenta eliminar (fonte: X-Force)

Assim que esses processos forem encerrados, o Akira iniciará a criptografia. Os arquivos são criptografados usando ChaCha20 ou KCipher-2. Arquivos maiores que 2MB serão criptografados em blocos, enquanto arquivos menores serão criptografados com base na porcentagem de criptografia fornecida nos argumentos de linha de comando. Por padrão, 50% de cada arquivo menor que 2 MB é criptografado. Cada arquivo criptografado recebe uma extensão .akira. O Akira não criptografará arquivos com nenhuma das seguintes extensões:

  • .exe
  • .dll
  • .lnk
  • .sys
  • .msi

A versão Linux do Akira usa a mesma lista de diretórios e extensões de arquivo que a versão Windows que usa para filtrar arquivos direcionados, mesmo que eles sejam encontrados em sistemas Windows em vez de Linux. O Akira não criptografará nenhum arquivo nas seguintes pastas:

  • tmp
  • winnt
  • temp
  • thumb
  • $Recycle.Bin
  • $RECYCLE.BIN
  • System Volume Information
  • Boot
  • Windows
  • Trend Micro

Defendendo-se contra o ransomware Akira

As organizações podem seguir várias medidas para fortalecer as defesas contra o ransomware Akira. Embora não haja uma abordagem garantida para impedir um ataque de ransomware, incluindo os agentes de ameaças do Akira, a implementação dessas medidas pode dificultar o emprego das técnicas preferidas pelos invasores do Akira:

  • Gerenciamento de vulnerabilidades
    • Implemente um processo proativo e regular de correção para garantir que todas as vulnerabilidades conhecidas sejam abordadas em tempo hábil. Isso inclui a instalação de correções de segurança relevantes para mitigar vulnerabilidades como CVE-2023-20269.
  • Gerenciamento de senhas e autenticação multifator
    • O X-Force Threat Intelligence Index de 2024 identificou um aumento de 71% no uso de credenciais válidas como vetor inicial de infecção em relação ao ano anterior. Dada essa tendência, é imperativo forçar constantemente renovações de credenciais e implementar autenticações multifator para todos os serviços na medida do possível, especialmente para webmail, redes privadas virtuais e canais e contas semelhantes que acessam sistemas críticos.
  •  Realize buscas contínuas em mercados ilegais
      • A deep web é um ambiente rico para os agentes de ameaças adquirirem credenciais e logarem informações de infostealers. Monitorar proativamente essas fontes pode reduzir a probabilidade de violações e invasões em sua empresa. A IBM X-Force tem esse monitoramento como parte de seus serviços Vision Retainer.
  • Alimente soluções baseadas em host/rede com IOCs
    • Os Indicadores de Comprometimento (IOCs) incluídos no fim deste artigo podem ser usados para detectar o ransomware Akira em uma rede.

Além do acima, a X-Force recomenda aproveitar as ações proativas e corretivas fornecidas pela CISA em seu relatório de 18 de abril.

Para saber como o IBM X-Force pode ajudar você com qualquer coisa relacionada à cibersegurança, incluindo resposta a incidentes, inteligência de ameaças ou serviços de segurança ofensiva, agende uma reunião aqui.

Se você estiver enfrentando problemas de cibersegurança ou algum incidente, entre em contato com a X-Force para obter ajuda: Linha direta dos EUA 1-888-241-9812 | Linha direta global (+001) 312-212-8034.

