$244000000 за шифрование. VPN-инфраструктура теперь — бесплатный банкомат для хакеров

Активность группировки Akira продолжает вызывать тревогу у расследователей в США и Европе, которые на этой неделе выпустили обновлённый набор рекомендаций для организаций, сталкивающихся с деятельностью этой вымогательской операции. В документе отражены новые тактики, наблюдаемые в атаках с 2023 года, а также уязвимости, которые злоумышленники используют для проникновения в корпоративные сети. Материал вышел в развитие апрельского предупреждения 2024 года и стал самым подробным описанием методов группы за последний год.

Авторы уведомления отмечают, что к концу сентября сумма, полученная Akira в результате операций по шифрованию данных, превысила 244 миллиона долларов. В документе подчёркнуто, что вымогатели действуют не только ради прибыли: атаки приводят к остановке работы инфраструктуры в больницах, учебных заведениях, технологических компаниях и на производственных площадках. Представители аналитического подразделения ФБР поясняют, что в каждой зашифрованной системе отражается влияние на конкретные коллективы и окружающие сообщества, которые вынуждены справляться с последствиями атаки.

К подготовке предупреждения присоединились ФБР, Министерство обороны США, Министерство здравоохранения и социальных служб, Европол, а также правоохранительные органы Франции, Германии и Нидерландов. В этом обновлённом документе впервые подробно перечислены отрасли, которые Akira атакует чаще всего: это производственные компании, образовательные учреждения, IT-подрядчики и медицинские организации. Исследователи подчёркивают, что выбор жертв демонстрирует стремление операторов вымогательской программы находить слабые места в средних по масштабу структурах, где внедрён удалённый доступ и часто используется неполностью защищённая VPN-инфраструктура.

В отчёте уточняется, что операторы Akira получают доступ к VPN-продуктам через похищенные учётные записи или эксплуатацию уязвимостей — в том числе CVE-2024-40766. В ряде случаев злоумышленники начинают атаку с компрометированных VPN-данных, которые могли быть куплены у посредников с доступом к первоначальной точке проникновения. Иногда они прибегают к перебору паролей для VPN-концентраторов или массовому подбору слабых комбинаций с применением инструмента SharpDomainSpray для получения доступа к рабочим учётным записям. В документе подчёркивается, что злоумышленники активно комбинируют такие методы, рассчитывая на ошибки настройки и недостаточную сложность политик аутентификации.

Рекомендации уточняют, что группа неоднократно использовала AnyDesk, LogMeIn и другие средства удалённого сопровождения, чтобы закрепиться в инфраструктуре и имитировать действия администраторов. Инцидент-реакторы отмечали случаи целенаправленного удаления решений класса EDR, что позволяло злоумышленникам работать практически без следов. ФБР сообщает, что в ряде эпизодов Akira похищала данные меньше чем через два часа после начала атаки, что указывает на хорошую подготовку операторов, наличие заранее настроенных скриптов автоматизации и точное понимание структуры сетей жертв.

В отдельном разделе приведено руководство для школ, сталкивающихся с атаками Akira. Авторы уведомления рекомендуют образовательным учреждениям ввести строгий контроль за VPN-доступом, регулярно менять пароли и проверять системы дистанционного администрирования, которые, по наблюдениям расследователей, злоумышленники используют в качестве каналов для перемещения внутри инфраструктуры. В документе подчёркнуто, что образовательные организации остаются привлекательной целью, поскольку часто имеют разнородную среду и большое количество распределённых систем.

В новом уведомлении также рассматривается возможная связь Akira с ликвидированной группой Conti. Аналитики уточняют, что эта взаимосвязь прослеживается в кодовой базе программ, в транзакциях на криптокошельки, ассоциированные с руководителями Conti, а также в частичном пересечении кругов исполнителей. Представители правоохранительных органов подтверждают, что некоторые участники Conti ранее действовали на территории России, однако прямой связи Akira с государственными структурами нет. При этом в документе уточняется, что архитектура группировки представлена в виде набора независимых исполнителей, которые могут находиться в разных странах и работать по модели партнёрства.

В перечне наиболее заметных инцидентов упоминается недавнее проникновение в сеть BK Technologies — поставщика радиооборудования для оборонного сектора США и служб экстренного реагирования. Компания уведомила инвесторов о компрометации части внутренней информации и данных текущих и бывших сотрудников после атаки в сентябре. Akira также несёт ответственность за вторжения в Стэнфордский университет, зоопарк Торонто, южноафриканский государственный банк, брокерскую компанию London Capital Group и другие крупные организации, чьи системы оказались уязвимы для цепочек атак группы.