Artikel ini dapat terwujud berkat kontribusi dari Aaron Gdanski.
Tim IBM X-Force Incident Response dan Intelijen ancaman telah menyelidiki beberapa serangan ransomware Akira sejak kelompok aktor ancaman ini muncul pada Maret 2023. Blog ini akan membagikan perspektif unik X-Force tentang Akira yang diperoleh saat mengamati aktor ancaman di balik ransomware ini, termasuk perintah yang digunakan untuk menerapkan ransomware, eksploitasi aktif CVE-2023-20269 dan analisis biner ransomware.
Kelompok ransomware Akira telah mendapatkan ketenaran dalam lingkungan keamanan siber saat ini, digarisbawahi oleh Cybersecurity and Infrastructure Security Agency’s (CISA) recent Cybersecurity Advisory tentang kelompok tersebut dan ratusan korban yang telah diklaim oleh aktor ransomware Akira di berbagai industri dan geografi.
Aktor ancaman Akira menggunakan skema pemerasan ganda yang melibatkan eksfiltrasi data dan enkripsi di seluruh perusahaan. Afiliasi Akira menuntut pembayaran tebusan untuk mencegah grup menerbitkan file di situs onion mereka dan menerima kunci dekripsi untuk memulihkan file yang terpengaruh. Nama grup ini tampaknya menyinggung plot film anime tahun 1988 dengan nama yang sama.
Buletin industri
Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Aktor ransomware Akira telah menerapkan dua situs di dark web—keduanya adalah lokasi .onion yang disebutkan dalam catatan tebusan yang ditinggalkan oleh Akira setelah setiap serangan. Situs-situs ini memiliki gaya yang mengingatkan kembali ke ARPANET pada awal 1980-an.
Situs pertama mencakup informasi umum tentang kelompok ransomware, mengiklankan catatan curian dari korban kelompok, termasuk berita tentang rilis data potensial dan mengidentifikasi cara untuk menghubungi grup.
Gambar 1: Situs dark web yang memublikasikan nama dan mempermalukan Ransomware Akira .onion (Sumber: Riset dark web X-Force)
Situs kedua digunakan untuk negosiasi. Untuk mengakses situs ini, pengguna perlu input kata sandi yang disertakan dalam catatan tebusan sebagai pengidentifikasi unik.
Gambar 2: Ransomware Akira .onion portal negosiasi dark web (Sumber: riset dark web X-Force)
Setelah mendapatkan akses, portal negosiasi menampilkan pesan yang memberi tahu korban bahwa kelompok Akira sedang menyiapkan sampel data curian dari organisasi korban. Proses ini mungkin manual untuk aktor ancaman, berdasarkan jumlah waktu yang tampaknya dibutuhkan. Setelah siap, kelompok ancaman akan melampirkan file yang mencakup daftar folder dan file yang dieksfiltrasi selama operasi dalam upaya untuk membuktikan kepada korban bahwa aktor Akira mencuri file autentik sebelum enkripsi terjadi.
Gambar 3: Obrolan dukungan Akira dalam portal negosiasi dark web (Sumber: Lab539)
Setelah CVE-2023-20269 diungkapkan pada awal September 2023, aktor ancaman ransomware Akira telah memanfaatkan secara luas untuk mengeksploitasi kerentanan ini di alam liar. CVE-2023-20269 memengaruhi fitur jaringan pribadi virtual (VPN) Cisco Adaptive Security Appliance (ASA) dan Firepower Threat Defense (FTD), memungkinkan penyerang jarak jauh yang tidak sah melakukan serangan brute force terhadap akun yang ada.
Setelah akses awal, grup menggunakan berbagai alat dan malware untuk pengintaian, eksfiltrasi data, gerakan lateral dan skrip yang dibuat khusus untuk menyebarkan biner ransomware di seluruh jaringan.
Gulir untuk melihat tabel lengkap
Gambar 4: Rangkaian alat yang digunakan oleh aktor ransomware Akira (Sumber: X-Force)
Tidak seperti beberapa keluarga ransomware dengan modul perilaku worm untuk propagasi atau replikasi tanpa interaksi manusia, Akira ransomware memerlukan prosedur aktif untuk menyebarkan infeksi dalam jaringan. Opsi umum adalah penggunaan kebijakan pengontrol domain jika aktor ancaman telah mencapai tingkat akses ini atau penggunaan fitur yang tertanam dalam biner Akira yang dipicu oleh skrip batch atau bash.
X-Force telah mengamati aktor ransomware Akira menggunakan skrip batch dengan pola berikut setelah menyelesaikan kegiatan pengintaian:
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
Biner ransomware Akira membuat file teks yang terletak di direktori saat ini tempat eksekusi berlangsung.
IBM X-Force telah menganalisis binari Windows dan Linux untuk ransomware Akira. Versi Linux dan Windows dari Akira berfungsi sama dengan perbedaan utama adalah perpustakaan yang digunakan untuk mendukung operasi kriptografi. Akira menambahkan .akira ke nama file terenkripsi dan meletakkan catatan tebusan ke setiap direktori tempat file dienkripsi. Catatan tebusan berisi tautan TOR dan kode yang dapat digunakan korban untuk masuk ke sistem obrolan untuk menegosiasikan uang tebusan.
Dalam satu contoh, file ransomware Akira dikompilasi pada akhir Desember 2023, khususnya 2023-12-28 14:49:57 UTC, dan dikembangkan dalam C ++.
Gambar 5: Cap waktu tanggal untuk kompilasi ransomware Akira—28 Desember 2023 (Sumber: X-Force)
Setelah eksekusi, Akira Ransomware akan membuat file log di direktori saat ini. Nama file log didasarkan pada waktu lokal sistem saat ini, dalam format berikut: “Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt”. Jika terjadi kesalahan saat mengenkripsi file, Akira akan menulis pesan kesalahan ke file log. Informasi tambahan mengenai parameter baris perintah program juga ditulis dalam file log. Setelah file log dibuat, Akira akan mulai mengurai argumen baris perintahnya. Argumen baris perintah berikut diterima oleh Akira versi Windows:
Gulir untuk melihat tabel lengkap
Gambar 6: Argumen baris perintah yang digunakan oleh ransomware Akira (Sumber: X-Force)
Setelah argumen baris perintah diurai, Akira akan menghapus semua salinan bayangan menggunakan perintah Powershell: “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””. Perintah ini dijalankan menggunakan objek Model Objek Komponen (COM) untuk mencegah deteksi. Selain itu, Akira dapat mencoba untuk mematikan proses dengan nama-nama berikut:
Gulir untuk melihat tabel lengkap
Gambar 7: Memproses upaya ransomware Akira untuk membunuh (Sumber: X-Force)
Setelah proses ini dimatikan, Akira akan memulai enkripsi. File dienkripsi menggunakan ChaCha20 atau KCipher-2. File yang lebih besar dari 2MB akan dienkripsi dalam blok, sementara file yang lebih kecil akan dienkripsi berdasarkan persentase enkripsi yang disediakan dalam argumen baris perintah. Secara default, 50% dari setiap file yang lebih kecil dari 2MB dienkripsi. Setiap file terenkripsi diberi ekstensi .akira . Akira tidak akan mengenkripsi file dengan salah satu ekstensi berikut:
Versi Linux dari Akira menggunakan daftar direktori dan ekstensi file yang sama dengan versi Windows yang digunakannya untuk memfilter file yang ditargetkan meskipun ditemukan di sistem Windows, bukan Linux. Akira tidak akan mengenkripsi file apa pun dalam folder berikut:
Organisasi dapat mengambil beberapa langkah untuk memperkuat pertahanan terhadap ransomware Akira. Meskipun tidak ada pendekatan yang dijamin untuk mencegah serangan ransomware—termasuk dari aktor ancaman Akira—menerapkan langkah-langkah ini dapat mempersulit penyerang Akira untuk menggunakan teknik pilihan mereka:
Selain hal di atas, X-Force merekomendasikan untuk memanfaatkan tindakan proaktif dan perbaikan yang diberikan oleh CISA dalam laporannya pada 18 April.
Untuk mengetahui bagaimana IBM® X-Force dapat membantu Anda dalam hal apa pun terkait keamanan siber, termasuk respons insiden, intelijen ancaman, atau layanan keamanan ofensif , jadwalkan pertemuan di sini.
Jika Anda mengalami masalah keamanan siber atau insiden, hubungi X-Force untuk membantu: Hotline AS 1-888-241-9812 | Hotline global (+001) 312-212-8034.
Gulir untuk melihat tabel lengkap