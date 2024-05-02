Este artigo foi possível graças às contribuições de Aaron Gdanski.
As equipes IBM X-Force Incident Response and Threat Intelligence investigaram diversos ataques de ransomware Akira desde que esse grupo de atores de ameaça surgiu em março de 2023. Este blog compartilha a perspectiva exclusiva da X-Force sobre o Akira, obtida a partir da observação dos atores por trás desse ransomware, incluindo comandos usados para implantar o ransomware, a exploração ativa da CVE-2023-20269 e a análise do binário do ransomware.
O grupo de ransomware Akira ganhou notoriedade no atual cenário de cibersegurança, evidenciada pelo recente Alerta de Cibersegurança da Cybersecurity and Infrastructure Security Agency (CISA) sobre o grupo e pelas centenas de vítimas que os agentes do ransomware Akira alegam ter feito em diversos setores e geografias.
Os agentes de ameaça do Akira empregam um esquema de dupla extorsão que envolve tanto a exfiltração de dados quanto a criptografia em toda a organização. Os afiliados do Akira exigem o pagamento de um resgate para impedir que o grupo publique arquivos em seu site onion e para receber uma chave de descriptografia que permita recuperar os arquivos afetados. O nome do grupo parece ser uma alusão ao enredo de um filme de anime de 1988 com o mesmo nome.
Os agentes do ransomware Akira implementaram dois sites na dark web — ambos são arquivos .onion locais mencionados na nota de resgate deixada pelo Akira após cada ataque. Os sites são estilizados de forma que remontam à ARPANET no início dos anos 1980.
O primeiro site inclui informações gerais sobre o grupo de ransomware, anuncia registros roubados das vítimas do grupo, inclui notícias sobre possíveis liberações de dados e identifica formas de entrar em contato com o grupo.
Figura 1: site de exposição (“name-and-shame”) na dark web .onion do ransomware Akira (Fonte: pesquisa da dark web da X-Force)
O segundo site é usado para negociações. Para acessar este site, o usuário precisa inserir uma senha incluída na nota de resgate como um identificador exclusivo.
Figura 2: portal de negociações na dark web (.onion) do ransomware Akira (Fonte: pesquisa da dark web da X-Force)
Após obter acesso, o portal de negociação exibe uma mensagem informando à vítima que o grupo Akira está preparando uma amostra de dados roubados da organização da vítima. Esse processo pode ser manual para o agente de ameaças, baseado no tempo que parece levar. Quando estiver pronto, o grupo de ameaças anexará um arquivo que inclui uma lista de pastas e arquivos exfiltrados durante a operação em um esforço para provar à vítima que os agentes do Akira roubaram arquivos autênticos antes da criptografia ocorrer.
Figura 3: bate-papo de suporte do Akira no portal de negociações da dark web (fonte: Lab539)
Após a CVE-2023-20269 ter sido divulgada no início de setembro de 2023, os agentes de ameaças do ransomware Akira aproveitaram amplamente para exploração dessa vulnerabilidade na natureza. A CVE-2023-20269 afeta as funcionalidades de rede privada virtual (VPN) do Cisco Adaptive Security Appliance (ASA) e do Firepower Threat Defense (FTD), permitindo que invasores remotos não autorizados realizem ataques de força bruta contra contas existentes.
Após o acesso inicial, o grupo emprega uma variedade de ferramentas e malware para reconhecimento, exfiltração de dados, movimentação lateral e scripts especialmente criados para espalhar o binário do ransomware pela rede.
Figura 4: conjunto de ferramentas usadas pelos agentes do ransomware Akira (fonte: X-Force)
Ao contrário de algumas famílias de ransomware com módulos de comportamento de worm para propagação ou replicação sem interação humana, o ransomware Akira exige um procedimento ativo para espalhar a infecção nas redes. As opções comuns são o uso de políticas de controlador de domínio, se o agente de ameaças atingir esse nível de acesso, ou o uso de funcionalidades incorporadas no binário do Akira acionados por scripts em lote ou bash.
A X-Force observou que os agentes do ransomware Akira usam scripts em lote com o seguinte padrão após concluir as atividades de reconhecimento:
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
O binário do ransomware Akira cria um arquivo de texto localizado no diretório atual onde ocorreu a execução.
A IBM X-Force analisou binários do Windows e Linux para o ransomware Akira. As versões Linux e Windows do Akira funcionam de forma semelhante, com a principal diferença sendo as bibliotecas usadas para suportar operações criptográficas. O Akira acrescenta a extensão .akira ao nome dos arquivos criptografados e envia um pedido de resgate em cada diretório onde os arquivos são criptografados. A nota de resgate contém um link TOR e um código que a vítima pode usar para fazer login em um sistema de chat para negociar o resgate.
Em uma instância, o arquivo de ransomware Akira foi compilado no final de dezembro de 2023, particularmente 2023-12-28 14:49:57 UTC, e desenvolvido em C++.
Figura 5: Data e hora da compilação do ransomware Akira—28 de dezembro de 2023 (fonte: X-Force)
Após a execução, o Akira Ransomware criará um arquivo de registro no diretório atual. O nome do arquivo de log é baseado na hora local atual do sistema, no seguinte formato: “Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt”. Se ocorrer um erro durante a criptografia de um arquivo, o Akira escreverá uma mensagem de erro no arquivo de log. Informações adicionais sobre os parâmetros de linha de comando do programa também são gravadas no arquivo de log. Assim que o arquivo de log for criado, o Akira começará a analisar seus argumentos de linha de comando. Os seguintes argumentos de linha de comando são aceitos pela versão para Windows do Akira:
Figura 6: Argumentos de linha de comando usados pelo ransomware Akira (fonte: X-Force)
Depois que os argumentos da linha de comando forem analisados, o Akira excluirá todas as cópias de sombra usando o comando do PowerShell: “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””. Esse comando é executado usando objetos de modelo de objeto componente (COM) para evitar a detecção. Além disso, o Akira pode tentar encerrar processos com os seguintes nomes:
Figura 7: Processos que o ransomware Akira tenta eliminar (fonte: X-Force)
Assim que esses processos forem encerrados, o Akira iniciará a criptografia. Os arquivos são criptografados usando ChaCha20 ou KCipher-2. Arquivos maiores que 2MB serão criptografados em blocos, enquanto arquivos menores serão criptografados com base na porcentagem de criptografia fornecida nos argumentos de linha de comando. Por padrão, 50% de cada arquivo menor que 2 MB é criptografado. Cada arquivo criptografado recebe uma extensão .akira. O Akira não criptografará arquivos com nenhuma das seguintes extensões:
A versão Linux do Akira usa a mesma lista de diretórios e extensões de arquivo que a versão Windows que usa para filtrar arquivos direcionados, mesmo que eles sejam encontrados em sistemas Windows em vez de Linux. O Akira não criptografará nenhum arquivo nas seguintes pastas:
As organizações podem seguir várias medidas para fortalecer as defesas contra o ransomware Akira. Embora não haja uma abordagem garantida para impedir um ataque de ransomware, incluindo os agentes de ameaças do Akira, a implementação dessas medidas pode dificultar o emprego das técnicas preferidas pelos invasores do Akira:
Além do acima, a X-Force recomenda aproveitar as ações proativas e corretivas fornecidas pela CISA em seu relatório de 18 de abril.
Para saber como o IBM X-Force pode ajudar você com qualquer coisa relacionada à cibersegurança, incluindo resposta a incidentes, inteligência de ameaças ou serviços de segurança ofensiva, agende uma reunião aqui.
Se você estiver enfrentando problemas de cibersegurança ou algum incidente, entre em contato com a X-Force para obter ajuda: Linha direta dos EUA 1-888-241-9812 | Linha direta global (+001) 312-212-8034.
