近年來，勒索軟件已經(jīng)成為企業(yè)安全的嚴(yán)重威脅。《2024年勒索軟件回顧：Unit 42泄密網(wǎng)站分析》顯示，勒索軟件泄密網(wǎng)站報(bào)告的受害者增加了49%，至少覆蓋全球120個(gè)國家。

2023年，美國多家醫(yī)院被Akira勒索軟件攻擊，導(dǎo)致關(guān)鍵系統(tǒng)癱瘓、病患數(shù)據(jù)泄漏，直接造成數(shù)百萬美元損失。

安博通針對(duì)新型勒索軟件家族——Akira進(jìn)行了深入研究，希望通過解析其運(yùn)作方式和特征，幫助企業(yè)機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全防御。

一、Akira組織信息

Akira勒索軟件家族的重要特征為雙重勒索策略、RaaS（勒索軟件即服務(wù)）分發(fā)模型和獨(dú)特的支付方式，是增長(zhǎng)最快的勒索軟件家族之一。

Akira最初出現(xiàn)于2023年3月，該組織成功植入勒索病毒后，會(huì)向受害者提供付費(fèi)解密文件或刪除數(shù)據(jù)的選項(xiàng)，要求贖金通常在20萬到400萬美元之間。CISA咨詢聲明，截至2024年1月1日，已有超過250個(gè)企業(yè)機(jī)構(gòu)受到影響。

Akira勒索程序

Akira勒索信息

二、攻擊活動(dòng)痕跡

由于Akira是新出現(xiàn)的勒索組織，且針對(duì)性較強(qiáng)，因此攻擊次數(shù)不像其他更成熟、應(yīng)用更廣泛的勒索組織那么多。2023年5月1日-8月31日，Akira的攻擊次數(shù)最多，占檢測(cè)總次數(shù)的53.1% 。其中，法國和美國位居第一和第二，檢測(cè)次數(shù)分別為360次和107次。

Akira勒索病毒的大部分受害者是小型企業(yè)，中型企業(yè)和大型企業(yè)緊隨其后。受到攻擊最多的行業(yè)是學(xué)術(shù)業(yè)和專業(yè)服務(wù)業(yè)，其次是建筑業(yè)和材料業(yè)。

三、Akira感染鏈技術(shù)

Akira勒索軟件通常使用從關(guān)聯(lián)公司或其他攻擊中獲取的有效憑證來訪問受害者環(huán)境。它使用了很多第三方工具，包括：PCHunter、AdFind、PowerTool、Terminator、Advanced IP Scanner、RDP（遠(yuǎn)程桌面協(xié)議）、AnyDesk、Radmin、WinRAR和 Cloudflare的隧道工具。

具體攻擊鏈

Akira勒索攻擊分析

1、初始訪問：Akira勒索軟件攻擊者通常使用盜取的VPN憑證來獲得初始訪問權(quán)限。還會(huì)利用CVE-2023-20269漏洞攻擊脆弱的VPN 。

2、建立持久性：攻擊者會(huì)在受感染的系統(tǒng)上創(chuàng)建新的域賬戶，以建立持久性。

3、規(guī)避防御：為逃避安全防御，Akira會(huì)使用PowerTool或KillAV工具，濫用Zemana AntiMalware驅(qū)動(dòng)程序來終止與AV相關(guān)的進(jìn)程。

4、識(shí)別發(fā)現(xiàn)：進(jìn)行信息搜集，Akira會(huì)使用這些方法獲取受害者系統(tǒng)及其連接網(wǎng)絡(luò)的信息：（1）使用PCHunter和SharpHound收集系統(tǒng)信息。（2）使用AdFind、net Windows命令和nltest獲取域信息。（3）使用IP掃描工具和MASSCAN發(fā)現(xiàn)其他遠(yuǎn)程系統(tǒng)。

5、竊取數(shù)據(jù)：Akira勒索軟件攻擊者使用第三方工具和Web服務(wù)RClone竊取敏感信息，使用FileZilla或WinSCP通過FTP（文件傳輸協(xié)議）竊取敏感信息。

6、植入勒索病毒：Akira勒索軟件使用Chacha20和RSA混合加密算法對(duì)目標(biāo)系統(tǒng)進(jìn)行加密。同時(shí)，與大多數(shù)現(xiàn)代勒索軟件的二進(jìn)制文件一樣，從受攻擊系統(tǒng)中刪除卷影副本，以阻止系統(tǒng)恢復(fù)。

四、安全防護(hù)建議

以下是安博通針對(duì)勒索軟件總結(jié)的安全防護(hù)建議，可幫助企業(yè)機(jī)構(gòu)保護(hù)關(guān)鍵信息系統(tǒng)和重要數(shù)據(jù)。

·  安全審計(jì)：盤點(diǎn)資產(chǎn)和數(shù)據(jù)，識(shí)別授權(quán)/未授權(quán)的設(shè)備和軟件，對(duì)事件和事故日志進(jìn)行審核。

·  及時(shí)備份數(shù)據(jù)：定期對(duì)重要數(shù)據(jù)進(jìn)行備份，確保其存儲(chǔ)在安全的離線位置，在受到勒索軟件攻擊時(shí)可以幫助恢復(fù)數(shù)據(jù)。

·  更新維護(hù)系統(tǒng)：定期更新操作系統(tǒng)、應(yīng)用程序和安全軟件，修補(bǔ)已知漏洞，增強(qiáng)系統(tǒng)安全性。

·  強(qiáng)化網(wǎng)絡(luò)安全：采用防火墻、入侵檢測(cè)和安全網(wǎng)關(guān)等措施，限制未經(jīng)授權(quán)系統(tǒng)的訪問。

·  員工培訓(xùn)和意識(shí)提升：加強(qiáng)員工對(duì)勒索軟件的認(rèn)識(shí)，進(jìn)行安全意識(shí)培訓(xùn)，讓員工警惕勒索軟件的傳播途徑。

·  安全策略和應(yīng)急預(yù)案：制定全面的安全策略和災(zāi)難恢復(fù)計(jì)劃，以便發(fā)生勒索軟件攻擊時(shí)能夠迅速應(yīng)對(duì)和恢復(fù)。