Akira ransomware rammer flere danske virksomheder

2023-07-31

Det er stadig sommerferie i mange virksomheder. Men de it-kriminelle holder desværre ikke fri. Faktisk har særligt en it-kriminel gruppering haft mere end almindeligt travlt, i de forløbne uger, med at levere Akira ransomware og foretage data eksfiltration i forbindelse med deres velkendte taktik med dobbelt afpresning.

Akira rammer både Windows og Linux miljøer.

Den gode nyhed, der forsvandt
Der landede en god nyhed i begyndelsen af juli måned, hvor Avast kunne meddele, at de man havde udviklet et dekrypteringsværktøj, som uden beregning, blev stillet til rådighed for nødlidte ofre. En beskrivelse af værktøjet samt tekniske detaljer om Akira kan findes på adresse: https://decoded.avast.io/threatresearch/decrypted-akira-ransomware/

Den dårlige nyhed er, at det seneste variant af Akira er blevet modificeret, så Avast's decryptor værktøj ikke længere fungerer i forhold til de nyeste varianter.

Tekniske detaljer
Akira er en ransomware variant som første gang så dagens lys i Marts 2023. Den er udviklet i C++ og gør brug af et boost bibliotek til implementering af asynkron kodekryptering. I juni blev det første Akira sample rettet mod Linux delt på flere sociale medier.

De to udgaver til henholdsvis Windows og Linux er stort set identiske, men Linux udgaven anvender "Crypto++" biblioteket hvorimod Windows varianter gør brug af "CryptoAPI". Som alle andre ransomware varianter sletter den skadelige kode Windows "Shadow Volume" kopier ved at spawne VSS kommandoer. Den deaktiverer også flere legitime windows processer igennem "Windows Restart Manager API".

Ved kørsel vil Akira anvende API'et "GetLogicalDriveStrings()" med henblik på at indsamle alle logisk drev på det kompromitterede system. Selve kryptering af datafiler gennemføres ved brug af "Microsoft Enhanced RSA and AES Cryptographic Provider" biblitektet samt som tidligere omtalte CryptoAPI og følgende funktioner: CryptAcquireContextW(), CryptImportPublicKeyInfo(), CryptGenRandom(), og CryptEncrypt(). Den medfølgende ofentlige nøgle er base64 kodet.

Når Akira rammer et system vil den gennemsøge maskinen for alle datafiler og omdøbe disse til .akira. I alle de mapper hvor der krypteres datafiler droppes en txt fil med filnavnet "akira_readme.txt" og som indeholder følgende besked:

Akira eksfiltrerer data fra det lokale netværk. Disse data misbruges i forbindelse med afpresning, hvor virksomheden ender med at optræde på Akira's TOR baserede multi-hop proxy læk side.

Den kan findes på:
akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion.

I den forløbne uge har gruppen postet oplysninger om 6 nye ofre for deres ransomware og datatyveri.

Gode råd:
- Lav sikre offsite backups
- Tilsikre patch management processer er på plads for eksternt og internt udstyr
- Brug unikke adgangskoder, der er svære at knække og etabler MFA hvor det er muligt
- Krypter følsomme data, hvor det er muligt
- Minimer eksponering af services og funktionalitet
- Harden og optimer Windows AD
- Overvåg og monitor dit netværk for IoCs og abnormal trafik (MDR)
- Etabler en incident response plan eller service (IR)

En frisk kopi af Akira kan findes på Virustotal:
https://www.virustotal.com/gui/file/3c92bfc71004340ebc00146ced294bc94f49f6a5e212016ac05e7d10fcb3312c

Andre IoCs (SHA256)
3c92bfc71004340ebc00146ced294bc94f49f6a5e212016ac05e7d10fcb3312c
7b295a10d54c870d59fab3a83a8b983282f6250a0be9df581334eb93d53f3488
4aaa583a9c554ea8e73d4dee0d53eb12dda17df16388f96c0f6ddbaafbcda813
2084ab8f92a86a37a35879378610949e21ea7b5030313655bb82fe6c67772b0d
473326da3fff09ee3e486f5f39c090690437ac8bf8bdce556c8033e8f0d730fc