Ученик превзошёл учителя: стоят ли за группой Akira бывшие участники Conti?

Специалисты компании Arctic Wolf сообщают , что новая программа-вымогатель Akira имеет влияние на малый и средний бизнес по всему миру, при этом основная активность замечена в США и Канаде.

С момента обнаружения Akira в марте 2023 года насчитывается не менее 63 случаев компрометации. Важным открытием стало то, что вирус Akira имеет связи с хакерами из группировки Conti.

Анализ криптовалютных транзакций Akira и Conti показал, что в трех отдельных случаях участники Akira перевели более $600 000 на адреса, связанные с Conti. Отсюда эксперты Arctic Wolf сделали вывод – лицо, контролирующее адрес получателя, является либо бывшим участником распавшейся Conti , либо сотрудничает с обеими группами одновременно.

Транзакции между Akira и Conti

Соответствия в коде Akira и Conti трудно отследить с момента утечки исходного кода Conti в прошлом году. Однако исследователи уверены, что Akira очень похож на программу-вымогатель Conti: Akira игнорирует те же типы файлов и каталогов, и использует схожий алгоритм шифрования.

Активные проникновения Akira на компьютерные системы под управлением Windows и Linux осуществляются через VPN-сервисы, особенно там, где пользователи не активировали двухфакторную аутентификацию (2FA). После заражения Akira удаляет резервные папки, которые могут быть использованы для восстановления потерянных данных. Далее программа-вымогатель шифрует файлы с определенными расширениями.

Требования выкупа хакеров Akira варьируются от $200,000 до более $4 млн. Группировка обещает восстановить доступ к данным в течение 24 часов после получения выкупа, угрожая продажей личных данных и коммерческих секретов в случае отказа.

Akira непрерывно модифицируется и обновляется, изменяя свои тактики для избежания обнаружения. Группировка приняла на себя ответственность за ряд крупных инцидентов, включая атаки на госбанк в Южной Африке DBSA и компанию Yamaha Canada Music .