近年來，勒索軟件已經成為企業(yè)安全的嚴重威脅?！?024年勒索軟件回顧：Unit 42泄密網站分析》顯示，勒索軟件泄密網站報告的受害者增加了49%，至少覆蓋全球120個國家。

2023年，美國多家醫(yī)院被Akira勒索軟件攻擊，導致關鍵系統(tǒng)癱瘓、病患數(shù)據泄漏，直接造成數(shù)百萬美元損失。

安博通針對新型勒索軟件家族——Akira進行了深入研究，希望通過解析其運作方式和特征，幫助企業(yè)機構加強網絡安全防御。

一、Akira組織信息

Akira勒索軟件家族的重要特征為雙重勒索策略、RaaS（勒索軟件即服務）分發(fā)模型和獨特的支付方式，是增長最快的勒索軟件家族之一。

Akira最初出現(xiàn)于2023年3月，該組織成功植入勒索病毒后，會向受害者提供付費解密文件或刪除數(shù)據的選項，要求贖金通常在20萬到400萬美元之間。CISA咨詢聲明，截至2024年1月1日，已有超過250個企業(yè)機構受到影響。

Akira勒索程序

Akira勒索信息

二、攻擊活動痕跡

由于Akira是新出現(xiàn)的勒索組織，且針對性較強，因此攻擊次數(shù)不像其他更成熟、應用更廣泛的勒索組織那么多。2023年5月1日-8月31日，Akira的攻擊次數(shù)最多，占檢測總次數(shù)的53.1% 。其中，法國和美國位居第一和第二，檢測次數(shù)分別為360次和107次。

Akira勒索病毒的大部分受害者是小型企業(yè)，中型企業(yè)和大型企業(yè)緊隨其后。受到攻擊最多的行業(yè)是學術業(yè)和專業(yè)服務業(yè)，其次是建筑業(yè)和材料業(yè)。

三、Akira感染鏈技術

Akira勒索軟件通常使用從關聯(lián)公司或其他攻擊中獲取的有效憑證來訪問受害者環(huán)境。它使用了很多第三方工具，包括：PCHunter、AdFind、PowerTool、Terminator、Advanced IP Scanner、RDP（遠程桌面協(xié)議）、AnyDesk、Radmin、WinRAR和 Cloudflare的隧道工具。

具體攻擊鏈

Akira勒索攻擊分析

1、初始訪問：Akira勒索軟件攻擊者通常使用盜取的VPN憑證來獲得初始訪問權限。還會利用CVE-2023-20269漏洞攻擊脆弱的VPN 。

2、建立持久性：攻擊者會在受感染的系統(tǒng)上創(chuàng)建新的域賬戶，以建立持久性。

3、規(guī)避防御：為逃避安全防御，Akira會使用PowerTool或KillAV工具，濫用Zemana AntiMalware驅動程序來終止與AV相關的進程。

4、識別發(fā)現(xiàn)：進行信息搜集，Akira會使用這些方法獲取受害者系統(tǒng)及其連接網絡的信息：（1）使用PCHunter和SharpHound收集系統(tǒng)信息。（2）使用AdFind、net Windows命令和nltest獲取域信息。（3）使用IP掃描工具和MASSCAN發(fā)現(xiàn)其他遠程系統(tǒng)。

5、竊取數(shù)據：Akira勒索軟件攻擊者使用第三方工具和Web服務RClone竊取敏感信息，使用FileZilla或WinSCP通過FTP（文件傳輸協(xié)議）竊取敏感信息。

6、植入勒索病毒：Akira勒索軟件使用Chacha20和RSA混合加密算法對目標系統(tǒng)進行加密。同時，與大多數(shù)現(xiàn)代勒索軟件的二進制文件一樣，從受攻擊系統(tǒng)中刪除卷影副本，以阻止系統(tǒng)恢復。

四、安全防護建議

以下是安博通針對勒索軟件總結的安全防護建議，可幫助企業(yè)機構保護關鍵信息系統(tǒng)和重要數(shù)據。

·  安全審計：盤點資產和數(shù)據，識別授權/未授權的設備和軟件，對事件和事故日志進行審核。

·  及時備份數(shù)據：定期對重要數(shù)據進行備份，確保其存儲在安全的離線位置，在受到勒索軟件攻擊時可以幫助恢復數(shù)據。

·  更新維護系統(tǒng)：定期更新操作系統(tǒng)、應用程序和安全軟件，修補已知漏洞，增強系統(tǒng)安全性。

·  強化網絡安全：采用防火墻、入侵檢測和安全網關等措施，限制未經授權系統(tǒng)的訪問。

·  員工培訓和意識提升：加強員工對勒索軟件的認識，進行安全意識培訓，讓員工警惕勒索軟件的傳播途徑。

·  安全策略和應急預案：制定全面的安全策略和災難恢復計劃，以便發(fā)生勒索軟件攻擊時能夠迅速應對和恢復。