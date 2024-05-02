本文的完成得益于 Aaron Gdanski 的贡献。
自该威胁参与者组织于 2023 年 3 月出现以来，IBM X-Force 事件响应与威胁情报团队已调查了多起 Akira 勒索软件攻击。本博客将分享 X-Force 在观察此勒索软件背后的威胁参与者时获得的独特视角，包括用于部署勒索软件的命令、对 CVE-2023-20269 的主动利用以及对勒索软件二进制文件的分析。
在当前网络安全格局中，Akira 勒索软件组织已声名狼藉，美国网络安全与基础设施安全局 (CISA) 近期发布针对该组织的网络安全公告，以及 Akira 勒索软件攻击者宣称已在多个行业和地区造成数百名受害者的事实，都突显了这一点。
Akira 威胁参与者采用一种双重勒索策略，既窃取数据，又对企业范围的文件进行加密。Akira 的附属组织要求支付赎金，以防止该组织在其暗网站点公布文件，并获取解密密钥以恢复受影响的文件。该组织的名称似乎影射了 1988 年一部同名动漫电影的剧情。
Akira 勒索软件攻击者已在暗网上部署了两个站点——这两个都是 .onion 站点，在每次攻击后 Akira 留下的勒索信中均有提及。这些站点的风格设计让人回想起 20 世纪 80 年代初期的 ARPANET。
第一个站点包含关于该勒索软件组织的常规信息，宣传从受害者处窃取的记录，发布有关潜在数据泄露的新闻，并提供了联系该组织的方式。
图 1：Akira 勒索软件 .onion 暗网“点名羞辱”站点（来源：X-Force 暗网研究）
第二个站点用于谈判。要访问此站点，用户需要输入勒索笔记中包含的密码作为唯一标识符。
图 2：Akira 勒索软件 .onion 暗网协商门户（来源：X-Force 暗网研究）
成功访问后，协商门户会显示一条消息，告知受害者 Akira 组织正在准备一份从受害组织窃取的数据样本。根据所需时间判断，此过程可能由威胁参与者手动操作。准备就绪后，该威胁组织将附上一个文件，其中包含在攻击行动期间被外泄的文件夹和文件列表，旨在向受害者证明 Akira 攻击者在加密发生前窃取了真实的文件。
图 3：暗网协商门户内的 Akira 支持聊天屏幕截图（来源： Lab539）
自 2023 年 9 月初 CVE-2023-20269 被披露以来，Akira 勒索软件威胁参与者已广泛利用该漏洞进行攻击。CVE-2023-20269 影响思科自适应安全设备 (ASA) 和 Firepower 威胁防御 (FTD) 的虚拟专用网络 (VPN) 功能，允许未经授权的远程攻击者对现有账户进行暴力破解攻击。
在获得初始访问权限后，该组织使用多种工具和恶意软件进行侦察、数据外泄、横向移动，并利用专门编制的脚本在网络中传播勒索软件二进制文件。
图 4：Akira 勒索软件攻击者使用的工具套件（来源：X-Force）
与一些内置蠕虫行为模块、可在无需人工交互情况下传播或复制的勒索软件家族不同，Akira 勒索软件需要在网络内通过主动操作程序来传播感染。常见的方式是：如果威胁参与者已获得相应级别的访问权限，则使用域控制器策略；或者利用由批处理或 bash 脚本触发的、嵌入在 Akira 二进制文件中的功能。
X-Force 观察到 Akira 勒索软件攻击者在完成侦察活动后，使用以下模式的批处理脚本：
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
Akira 勒索软件二进制文件会在其执行的当前目录下创建一个文本文件。
IBM X-Force 分析了 Akira 勒索软件的 Windows 和 Linux 二进制文件。Akira 的 Linux 和 Windows 版本功能相似，主要区别在于用于支持加密操作的库不同。Akira 会在 加密文件的文件名后追加 .akira 扩展名，并在文件被加密的每个目录中留下一份勒索说明。该勒索说明包含一个 TOR 链接和一个代码，受害者可使用该代码登录聊天系统进行赎金谈判。
在一个实例中，Akira 勒索软件文件编译于 2023 年 12 月底，具体是 2023 年 12 月 28 日 14:49:57 (UTC)，并使用C++语言开发。
图 5：Akira 勒索软件编译时间戳——2023 年 12 月 28 日（来源：X-Force）
执行时，Akira 勒索软件会在当前目录创建一个日志文件。该日志文件的文件名基于系统的当前本地时间，格式为： “Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt”。如果在加密文件时发生错误，Akira 会将错误信息写入日志文件。程序命令行参数的相关信息也会记录在日志文件中。创建日志文件后，Akira 将开始解析其命令行参数。Windows 版本的 Akira 接受以下命令行参数：
图 6：Akira 勒索软件使用的命令行参数（来源：X-Force）
命令行参数解析完成后，Akira 将使用以下 PowerShell 命令删除所有卷影副本： “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””。该命令通过使用组件对象模型 (COM) 对象执行，以避免检测。此外，Akira 可能会尝试终止具有以下名称的进程：
图 7：Akira 勒索软件尝试终止的进程（来源：X-Force）
这些进程终止后，Akira 将开始加密。文件使用 ChaCha20 或 KCipher-2 算法进行加密。大于 2MB 的文件将分块加密，而较小的文件将根据命令行参数中提供的加密百分比进行加密。默认情况下，每个小于 2MB 的文件将有 50% 的内容被加密。每个加密文件都会被赋予 .akira 扩展名。Akira 不会加密具有以下任意扩展名的文件：
Akira 的 Linux 版本使用与 Windows 版本相同的目录和文件扩展名列表来筛选目标文件，尽管这些目录和扩展名常见于 Windows 系统而非 Linux 系统。Akira 不会加密以下文件夹内的任何文件：
组织可以采取多项措施来加强对 Akira 勒索软件的防御。虽然没有万无一失的方法能预防勒索软件攻击（包括来自 Akira 威胁参与者的攻击），但实施以下措施可以使 Akira 攻击者更难施展其惯用手法：
除上述措施外，X-Force 还建议利用 CISA 在其 4 月 18 日报告中提供的主动和补救措施。
要了解 IBM X-Force 如何帮助您处理网络安全相关事务，包括事件响应、威胁情报或攻击性安全服务，请在此预约会议。
如果遇到网络安全问题或事件，请联系 X-Force 寻求帮助：美国热线 1-888-241-9812 | 全球热线 (+001) 312-212-8034。
