Akira Ransomware

Como funciona o Akira ransomware?

A variante do ransomware Akira é distribuída de várias maneiras. Alguns mecanismos de distribuição conhecidos incluem anexos de e-mail infectados e a exploração de vulnerabilidades no endpoint VPN. Depois que o ransomware Akira obtém acesso a um sistema, ele usa vários meios para ocultar sua presença. Por exemplo, o ransomware pode trabalhar contra soluções de segurança de endpoint e usar LOLBins - que "vivem da terra" usando a funcionalidade incorporada em um computador para executar ações maliciosas - para aumentar a complexidade da detecção e correção da infecção. O ransomware também é conhecido por roubar credenciais de um sistema ao despejar a memória do processo LSASS, fornecendo a ele acesso e privilégios adicionais no sistema comprometido.

Como o ransomware Conti V2, que vazou, o malware usa CryptGenRandom e ChaCha 2008 para criptografia de arquivos. Os arquivos criptografados podem ser identificados por um .akira anexada aos seus nomes de arquivos. O malware também exclui cópias de sombra dos arquivos, impedindo que eles sejam usados para recuperação de dados. Em alguns casos, o ransomware também foi observado realizando ataques somente de extorsão. Esses ataques pulam a etapa de criptografia de dados e, em vez disso, exfiltram os dados e exigem um resgate para não vendê-los ou vazá-los publicamente. Depois que o ransomware criptografa e/ou rouba os dados, ele exibe uma mensagem de resgate. Akira é conhecido por exigir grandes resgates, muitas vezes na casa das centenas de milhões de dólares.

Como se proteger contra o Akira ransomware

As infecções pelo ransomware Akira podem ser onerosas para uma empresa em termos de diminuição da produtividade, perda de dados e custo de resgates e remediação. Algumas práticas recomendadas que as organizações podem implementar para reduzir o risco de um ataque bem-sucedido de ransomware incluem o seguinte:

• Treinamento de conscientização sobre segurança cibernética: O Akira utiliza e-mails de phishing e credenciais comprometidas para distribuir seu malware. O treinamento de conscientização sobre segurança cibernética pode reduzir a exposição de uma organização a essas ameaças, ensinando aos funcionários as práticas recomendadas de segurança e como reconhecer técnicas comuns de ataque.
• Soluções Anti-ransomware: A criptografia e a exfiltração de dados realizadas pelo ransomware são incomuns e um claro indicador de um ataque ao ransomware. As soluções antiransomware podem usar esses indicadores comportamentais e outros fatores para identificar, bloquear e corrigir infecções pelo Akira e outros ransomware.
• Backups de dados: Crypto ransomware como o Akira foi projetado para forçar uma empresa a pagar um resgate, criptografando seus dados e exigindo o pagamento da chave de descriptografia. Os backups de dados permitem que uma empresa recupere dados criptografados sem pagar o pedido de resgate.
• Gerenciamento de patches: O Akira geralmente explora a vulnerabilidade do software VPN para se infiltrar em um ambiente-alvo. A instalação imediata de patches e atualizações permite que a empresa encerre esses problemas de segurança de API antes que eles possam ser explorados pelo grupo ransomware.
• Autenticação forte do usuário: A variante do Akira ransomware geralmente tem como alvo VPNs que não possuem Autenticação multifatorial (MFA), o que torna mais fácil para o invasor explorar credenciais comprometidas. A imposição do uso de MFA em sistemas corporativos aumenta a dificuldade para o grupo de ransomware infectar sistemas com seu malware.
• Segmentação de rede: o site ransomware geralmente precisa se deslocar lateralmente em uma rede corporativa, desde o ponto inicial de infecção até um sistema com dados valiosos. A segmentação da rede torna esse movimento mais detectável e evitável antes que os dados confidenciais possam ser criptografados ou roubados.