درآمد ۲۵۰ میلیون دلاری گروه باج‌افزاری آکیرا

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، به‌روزرسانی‌های انجام‌شده بر مشاوره امنیتی آوریل ۲۰۲۴ درباره فعالیت‌های این گروه، شامل فهرست جدیدی از تاکتیک‌ها و آسیب‌پذیری‌هایی است که در حملات مورد سوءاستفاده قرار می‌گیرند.

طبق این گزارش، تا اواخر سپتامبر، تخمین زده می‌شود آکیرا (Akira) بیش از ۲۴۴ میلیون دلار از محل باج‌گیری به دست آورده باشد.

برت لیثِرمن، معاون مدیر بخش سایبری اف‌بی‌آی بیان کرد:

باج‌افزار آکیرا فقط پول نمی‌دزدد؛ بلکه سامانه‌هایی را که بیمارستان‌ها، مدارس و کسب‌وکارهای ما به آن وابسته‌اند، مختل می‌کند. پشت هر شبکه‌ی آسیب‌دیده، افراد واقعی و جوامعی قرار دارند که از سوی مجرمان سایبری بی‌رحم آسیب دیده‌اند.

علاوه بر اف‌بی‌آی، وزارت دفاع و وزارت بهداشت و خدمات انسانی آمریکا نیز در تهیه این گزارش مشارکت داشتند.

یوروپل و نیروهای پلیس فرانسه، آلمان و هلند هم در این نسخه به‌روزشده همکاری کردند.

گفته می‌شود این گروه بخش‌های تولید، آموزش، فناوری اطلاعات و مراقبت‌های بهداشتی را هدف قرار داده است.

در این گزارش آمده است:

عاملان آکیرا با سرقت اطلاعات ورود یا سوءاستفاده از آسیب‌پذیری‌هایی مانند CVE-2024-40766 به محصولات وی پی ان (VPN)، از جمله سونیک وال (SonicWall) نفوذ می‌کنند. در برخی موارد، آن‌ها دسترسی اولیه را از طریق اطلاعات ورودِ به‌سرقت‌رفته وی پی ان (احتمالاً با استفاده از دلالان دسترسی اولیه یا حملات Brute Force به نقاط پایانی وی پی ان) به دست می‌آورند. همچنین، مهاجمان آکیرا از روش Password Spraying استفاده می‌کنند و با ابزارهایی مانند SharpDomainSpray سعی دارند به اطلاعات حساب‌ها دست یابند.

این گروه از ابزارهای دسترسی از راه دور مانند انی دسک (AnyDesk) و لاگ می این (LogMeIn) نیز برای حفظ دسترسی خود و شبیه‌سازی فعالیت مدیران شبکه سوءاستفاده کرده است.

در برخی موارد، تیم‌های واکنش به حادثه مشاهده کرده‌اند که آکیرا سامانه‌های تشخیص و پاسخ به تهدیدات نقطه پایانی (EDR) را حذف کرده است.

اف‌بی‌آی هشدار داد که در برخی رخدادها، مهاجمان آکیرا تنها دو ساعت پس از دسترسی اولیه، توانسته‌اند داده‌ها را سرقت کنند.

این بیانیه همچنین پیوندهایی به توصیه‌های اختصاصی برای مدارس K-12 که هدف این گروه قرار گرفته‌اند ارائه می‌دهد.

نیک اندرسن، معاون اجرایی بخش امنیت سایبری آژانس امنیت سایبری و زیرساخت آمریکا (CISA)، اظهار کرد:

تهدید باج‌افزار از سوی گروه‌هایی مانند آکیرا واقعی است و سازمان‌ها باید آن را جدی بگیرند و اقدامات مقابله‌ای را سریع اجرا کنند.

در این گزارش اشاره شده است که آکیرا با گروه منحل‌شده‌ی کانتی (Conti) که پیش از آغاز جنگ روسیه و اوکراین چندین حمله معروف انجام داده بود، ارتباط دارد.

در تماس خبری با خبرنگاران، اندرسن تأیید کرد که آکیرا ممکن است با گروه باج‌افزاری منحل‌شده کانتی ارتباطاتی داشته باشد، اما از بیان اینکه آیا این گروه با دولت روسیه پیوند دارد یا خیر، خودداری کرد.

لیثِرمن از اف‌بی‌آی نیز افزود که هرچند ارتباط مستقیمی بین آکیرا و دولت روسیه وجود ندارد، اما مشخص است که گروه کانتی زمانی در روسیه فعالیت می‌کرد و برخی افراد ممکن است همچنان با آن گروه مرتبط باشند.

وی ادامه داد:

اما مانند هر گروه باج‌افزاری دیگری که با مدل همکاریِ مبتنی بر افزونه (affiliate) فعالیت می‌کند، ممکن است اعضا در هر نقطه‌ای از جهان باشند. ما معتقدیم که عوامل این گروه در کشورهای مختلف پراکنده‌اند.

پژوهشگران پیش‌تر اعلام کرده بودند شباهت‌های عمیقی میان نسخه‌های باج‌افزار آکیرا و کانتی وجود دارد.

تحلیل بلاک‌چین نیز چندین تراکنش مالی آکیرا را به کیف‌پول‌هایی مرتبط کرده که تحت کنترل رهبران کانتی بوده‌اند.

آکیرا اخیراً مسئولیت حمله سایبری به شرکت فناوری بی کی (BK Technologies)، سازنده تجهیزات رادیویی برای شرکت‌های دفاعی آمریکا و ده‌ها اداره پلیس و آتش‌نشانی را بر عهده گرفته است.

شرکت فناوری بی کی در ماه گذشته به سرمایه‌گذاران هشدار داده بود که در سپتامبر دچار یک رخنه امنیتی شده و هکرها اطلاعات غیرعمومی و داده‌های کارکنان فعلی و سابق را سرقت کرده‌اند.

آکیرا تاکنون مسئولیت ده‌ها حمله بزرگ دیگر را نیز پذیرفته است؛ از جمله حمله به دانشگاه استنفورد، باغ‌وحش تورنتو، یک بانک دولتی در آفریقای جنوبی، کارگزاری بزرگ فارکس گروه لندن کپیتال (London Capital Group) و سازمان‌های دیگر.