Arika fidye yazılımı, Mart ayında bir tehdit olarak ortaya çıkmasından bu yana gelişmeye devam etti; başlangıçta Windows sistemlerini hedef almaktan, Linux sunucularını da kapsayacak şekilde erişimini genişletti ve giderek artan sayıda taktik, teknik ve prosedür (TTP) kullandı.
Derinlemesine bir rapor LogPoint’ten Akira, kurban dosyalarını şifreleyen, gölge kopyaları silen ve veri kurtarma için fidye ödemesi talep eden “son derece karmaşık” fidye yazılımını çökertiyor.
Enfeksiyon zinciri, çok faktörlü kimlik doğrulaması olmayan Cisco ASA VPN’lerini aktif olarak hedef alarak güvenlik açığından yararlanıyor. CVE-2023-20269 bir giriş noktası olarak güvenlik açığı.
Eylül başı itibarıyla grup, ABD ve İngiltere’deki hedeflere odaklanarak 110 kurbanı başarıyla vurdu.
İngiliz kalite güvence şirketi Intertek yakın zamanda yüksek profilli bir kurbandı; grup ayrıca üretimi, profesyonel hizmetleri ve otomotiv organizasyonlarını da hedef aldı.
GuidePoint Security’nin yakın tarihli bir GRI raporuna göre, eğitim kurumları gözlemlenen 36 kurbandan sekizini temsil eden Akira tarafından orantısız bir şekilde hedef alındı.
Fidye yazılımı kampanyası, çalıştırıldığında gölge kopya silme, dosya arama, numaralandırma ve şifreleme gibi çeşitli adımları gerçekleştiren birden fazla kötü amaçlı yazılım örneğini içeriyor.
Akira, kişisel verileri çalarak, şifreleyerek ve ardından kurbanlardan zorla para alarak çifte gasp yöntemi kullanıyor. Ödemeyi reddederlerse grup, verileri Dark Web’de yayınlamakla tehdit ediyor.
Erişim elde edildikten sonra grup, uzak masaüstü uygulamaları AnyDesk ve RustDesk ile şifreleme ve arşivleme aracı WinRAR gibi araçları kullanıyor.
Rapora göre, gelişmiş sistem bilgi aracı ve görev yöneticisi PC Hunter, wmiexc ile birlikte grubun ihlal edilen sistemlerde yanal olarak hareket etmesine yardımcı oluyor.
Grup ayrıca Windows Defender tarafından tespit edilmekten kaçınmak için gerçek zamanlı izlemeyi devre dışı bırakabilir ve gölge kopyalar PowerShell aracılığıyla silinir.
Fidye notu dosyaları, kurbanın sistemindeki ödeme talimatlarını ve şifre çözme yardımını içeren birden fazla dosyaya bırakılır.
Logpoint’teki güvenlik araştırma mühendisi Anish Bogati, Akira’nın Windows dahili ikili programını (LOLBAS olarak da bilinir) yürütme, kimlik bilgilerini geri alma, savunmadan kaçma, yanal hareketi kolaylaştırma ve yedeklemeleri ve gölge kopyaları silme amacıyla kullanmasının grubun en çok endişe duyduğu TTP olduğunu söylüyor.
“Windows’un dahili ikili dosyaları normalde uç nokta koruması tarafından izlenmeyecek ve bunlar sistemde zaten mevcut olduğundan, rakiplerin bunları sisteme indirmesine gerek yok” diye açıklıyor.
Bogati, bir görev yapılandırması oluşturma yeteneğinin (şifrelenecek dosya veya klasörlerin konumu, şifrelenecek veri yüzdesinin belirlenmesi) göz ardı edilemeyeceğini, çünkü yapılandırmayı manuel müdahale olmadan otomatik olarak kurduğunu ekliyor.
Karşı Tedbirlerin Uygulanması
Bogati, “Birden fazla kötü amaçlı yazılım çeşidinin evrimi ve yetenekleri, tehdit aktörlerinin trendlere göre hızla uyum sağladığını gösteriyor” diye belirtiyor. “Akira grubu, Windows’un dahili ikili programını, API’sini ve meşru yazılımını kötüye kullandıkları için savunma yetenekleri konusunda oldukça deneyimli ve bilgilidir.”
Kuruluşların, kimlik bilgilerinin kaba kuvvetle kullanılmasını önlemek için MFA uygulamasını ve izinleri sınırlamasını, ayrıca yeni keşfedilen güvenlik açıklarından sürekli olarak yararlanan rakiplerin önünde kalmak için yazılım ve sistemleri güncel tutmasını öneriyor.
Ayrıcalıklı hesapların denetlenmesi ve düzenli güvenlik farkındalığı eğitimleri de raporda yer alan diğer öneriler arasında yer aldı.
Raporda ayrıca, kritik sistemleri ve hassas verileri izole etmek, ihlal riskini azaltmak ve saldırganların yanal hareketlerini sınırlandırmak için ağ bölümlendirmesi tavsiye edildi.
Bogati, kuruluşların Cloudflare ZeroTrust, ZeroTier ve TailScale gibi yetkisiz tünel açma ve uzaktan erişim araçlarını da engellemeyi düşünmeleri gerektiğini söylüyor ve bunların genellikle rakipler tarafından ele geçirilen ağlara gizlice erişmek için kullanıldığını açıklıyor.
Yeni Aktörlerin İşaretlediği Fidye Yazılımı Ortamı
Adını psikopat bir motorcunun yer aldığı 1988 tarihli kült Japon anime klasiğinden alan çete, bu yılın Nisan ayında dikkate alınması gereken bir siber suç gücü olarak ortaya çıktı ve öncelikle Windows sistemlerine saldırmasıyla tanınıyor.
Akira’nın Linux kurumsal ortamlarına geçişi, Cl0p, Royal ve IceFire fidye yazılımı grupları gibi daha köklü fidye yazılımlarının da aynısını yapma hamlesini takip ediyor.
Akira, daha küçük grupların ve yeni taktiklerin ortaya çıktığı tehdit ortamını harekete geçiren yeni fidye yazılımı aktörleri arasında yer alırken, LockBit gibi köklü çeteler daha az kurban görüyor.
Daha yeni fidye yazılımı grupları arasında her biri kendine özgü özelliklere ve hedeflere sahip olan 8Base, Malas, Rancoz ve BlackSuit yer alıyor.
Bogati, “Kurban sayılarına bakıldığında Akira’nın muhtemelen en aktif tehdit aktörlerinden biri olacağı” uyarısında bulunuyor. “Kötü amaçlı yazılımlarının çeşitli yeteneklere sahip birden fazla versiyonunu geliştiriyorlar ve yama yapılmamış sistemlerden yararlanma fırsatını kaçırmayacaklar.”