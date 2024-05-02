Questo articolo è stato reso possibile grazie al contributo di Aaron Gdanski.
I team di risposta agli incidenti e di threat intelligence di IBM® X-Force hanno indagato su diversi attacchi ransomware Akira fin da quando è apparso questo attore delle minacce, nel marzo 2023. Questo blog condividerà la prospettiva unica di X-Force su Akira, acquisita osservando gli attori delle minacce dietro questo ransomware, inclusi i comandi utilizzati per distribuire il ransomware, lo sfruttamento attivo di CVE-2023-20269 e l'analisi del binario ransomware.
Il gruppo ransomware Akira ha acquisito notorietà nell'attuale landscape di cybersecurity, sottolineato dal recente avviso sulla cybersecurity della Cybersecurity and Infrastructure Security Agency’s (CISA) rivolto al gruppo e alle centinaia di vittime che gli attori del ransomware Akira hanno mietuto in molteplici settori e aree geografiche.
Gli attori delle minacce di Akira utilizzano un doppio schema di estorsione che prevede sia l'esfiltrazione dei dati che la crittografia a livello aziendale. Gli affiliati di Akira chiedono il pagamento di un riscatto per impedire al gruppo di pubblicare file sul loro sito onion e di ricevere una chiave di decrittazione per recuperare i file interessati. Il nome del gruppo sembra alludere alla trama di un film anime del 1988 con lo stesso nome.
Gli attori del ransomware Akira hanno distribuito due siti sul dark web, entrambi sono posizioni di tipo .onion menzionate nella richiesta di riscatto lasciata da Akira dopo ogni attacco. I siti sono stilizzati in un modo che ricorda ARPANET all'inizio degli anni '80.
Il primo sito include informazioni generali sul gruppo di ransomware, pubblicizza i record rubati dalle vittime del gruppo, include notizie su potenziali rilasci di dati e identifica i modi per contattare il gruppo.
Figura 1: Sito di riferimento per il ransomware Akira .onion sul dark web (Fonte: ricerca sul dark web di X-Force)
Il secondo sito viene utilizzato per le negoziazioni. Per accedere a questo sito, un utente deve digitare una password inclusa nella nota di riscatto come identificatore univoco.
Figura 2: Portale di negoziazione del ransomware Akira .onion sul dark web (Fonte: ricerca sul dark web di X-Force)
Dopo aver ottenuto l'accesso, il portale di negoziazione mostra un messaggio che informa la vittima che il gruppo Akira sta preparando un campione di dati rubati dall'organizzazione vittima. Questo processo può essere manuale per l'attore delle minacce, in base alla quantità di tempo che sembra richiedere. Una volta pronto, il gruppo di minaccia allegherà un file che include un elenco di cartelle e file esfiltrati durante l'operazione nel tentativo di dimostrare alla vittima che gli attori di Akira hanno rubato file autentici prima che avvenisse la crittografia.
Figura 3: Chat di supporto Akira all'interno del portale di negoziazione del dark web (Fonte: Lab539)
Dopo che CVE-2023-20269 è stato reso pubblico all'inizio di settembre 2023, gli attori delle minacce ransomware di Akira hanno utilizzato ampiamente questa vulnerabilità in ambito reale. CVE-2023-20269 influisce sulle caratteristiche della rete privata virtuale (VPN) di Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), permettendo agli attaccanti remoti non autorizzati di condurre attacchi di forza bruta contro account esistenti.
Dopo l'accesso iniziale, il gruppo utilizza una varietà di strumenti e malware per la ricognizione, l'esfiltrazione dei dati, il movimento laterale e script appositamente creati per diffondere il binario ransomware in tutta la rete.
Figura 4: Suite di strumenti utilizzati dagli attori del ransomware Akira (Fonte: X-Force)
A differenza di alcune famiglie di ransomware con moduli di comportamento dei worm per propagazione o replica senza interazione umana, il ransomware Akira richiede una procedura attiva per diffondere l'infezione all'interno delle reti. Le opzioni comuni sono l'uso delle policy del controller di dominio se l'attore delle minacce ha raggiunto questo livello di accesso o l'uso di caratteristiche incorporate nel binario Akira attivate dagli script batch o bash.
X-Force ha osservato gli attori ransomware di Akira utilizzare script batch con il seguente schema dopo aver completato le attività di ricognizione:
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
Il binario ransomware Akira crea un file di testo situato nella directory corrente in cui è avvenuta l'esecuzione.
IBM X-Force ha analizzato i binari di Windows e di Linux per il ransomware Akira. Le versioni Linux e Windows di Akira funzionano in modo simile, la differenza principale risiede nelle librerie utilizzate per supportare le operazioni crittografiche. Akira aggiunge .akira al nome dei file crittografati e rilascia una nota di riscatto in ogni directory in cui i file vengono crittografati. La nota di riscatto contiene un link TOR e un codice che la vittima può usare per accedere a un sistema di chat e negoziare il riscatto.
In un caso, il file ransomware Akira è stato compilato alla fine di dicembre 2023, in particolare il 28/12/2023 alle 14:49:57 UTC, e sviluppato in C++.
Figura 5: Data e ora di compilazione del ransomware Akira: 28 dicembre 2023 (Fonte: X-Force)
Al momento dell'esecuzione, il ransomware Akira creerà un file di log nella directory corrente. Il nome del file di log si basa sull'ora locale corrente del sistema, nel seguente formato: "Log-<Day>-<Month>-<Year>-<Hour>-<Minute><Second>-.txt". Se si verifica un errore durante la crittografia di un file, Akira scriverà un messaggio di errore nel file di log. Nel file di log vengono scritte anche informazioni aggiuntive sui parametri della riga di comando del programma. Una volta creato il file di log, Akira inizierà ad analizzare gli argomenti della riga di comando. I seguenti argomenti a riga di comando sono accettati dalla versione Windows di Akira:
Figura 6: Argomenti della riga di comando utilizzati dal ransomware Akira (Fonte: X-Force)
Una volta analizzati gli argomenti della riga di comando, Akira eliminerà tutte le copie shadow utilizzando il comando Powershell: “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””. Questo comando viene eseguito utilizzando oggetti del tipo Modello a oggetti per componenti (COM) per prevenire il rilevamento. Inoltre, Akira potrebbe tentare di distruggere i processi con i seguenti nomi:
Figura 7: Processi che il ransomware di Akira tenta di distruggere (Fonte: X-Force)
Una volta distrutti questi processi, Akira inizierà la crittografia. I file sono criptati usando ChaCha20 o KCipher-2. I file più grandi di 2 MB verranno crittografati in blocchi, mentre i file più piccoli verranno crittografati in base alla percentuale di crittografia specificata negli argomenti della riga di comando. Per impostazione predefinita, il 50% di ogni file inferiore a 2 MB è crittografato. A ogni file crittografato viene assegnata un'estensione .akira. Akira non cripterà file con nessuna delle seguenti estensioni:
La versione Linux di Akira utilizza la stessa lista di directory ed estensioni di file della versione Windows utilizzata per filtrare i file mirati, anche se si trovano su sistemi Windows invece che su Linux. Akira non crittograferà alcun file nelle seguenti cartelle:
Le organizzazioni possono adottare diverse misure per rafforzare le difese contro il ransomware Akira. Sebbene non esista un approccio garantito per prevenire un attacco ransomware (incluso quello degli attori delle minacce di Akira) l'implementazione di queste misure può rendere più difficile per gli attaccanti di Akira adottare le tecniche preferite:
Oltre a quanto sopra, X-Force raccomanda di utilizzare le azioni proattive e correttive fornite dalla CISA nel suo report del 18 aprile.
Per scoprire come IBM® X-Force può aiutarti in qualsiasi cosa riguardi la cybersecurity, inclusa la risposta agli incidenti, la threat intelligence o i servizi di sicurezza offensiva, prenota un incontro qui.
Se stai riscontrando problemi di sicurezza informatica o un incidente, contatta X-Force per ricevere assistenza: USA: 1-888-241-9812 | Internazionale: (+001) 312-212-8034.
