الفئة: ذكاء البرامج الضارة

النوع/العائلة: رانسوم وير

المنطقة: في جميع أنحاء العالم

ملخص تنفيذي

قام فريق أبحاث التهديدات في CloudSek بالتحقيق في برنامج Akira Ransomware والنقاط البارزة السريعة هي كما يلي:

تم الإبلاغ عن أول إصابة في عام 2017 بواسطة Karsten Hahn على تويتر.
يستهدف كلاً من الأنظمة المستندة إلى Windows والأنظمة المستندة إلى Linux.
يستخدم التشفير المتماثل مع CryptgenRandom () و Chacha 2008 لتشفير الملفات.
تشترك في أوجه التشابه مع برنامج الفدية Conti v2 الذي تم تسريبه وفقًا لأبحاث Avast.
أفاست أصدرت أداة فك تشفير لـ Akira Ransomware تستهدف الأنظمة المستندة إلى Windows 64 بت و 32 بت.
يتم تقديم البيانات المسربة عبر التورنت وروابط التنزيل المباشر على نفس موقع الويب المستند إلى Tor.

موقع تور

اكيرال2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636 باد [.] البصل

‍

لقطة شاشة للصورة لموقع ويب قائم على Tor.

‍

الضحايا المدرجون على الموقع

حلول التوظيف في مجال الضيافة - الولايات المتحدة
مدينة خليج ناسو - جزر البهاما
شركة مفاهيم معلومات الكمبيوتر - الولايات المتحدة
فيرستن وورلدوايد - كندا
منتجات الشعير - الولايات المتحدة
مجموعة شوتينستين العقارية - الولايات المتحدة
غريغوري بول - الولايات المتحدة
خدمات الرعاية النهارية العائلية - أستراليا
توزيع كولومبيا - الولايات المتحدة
فرع طلاب إيبليريا - البرتغال
شركة نيو وورلد ترافيل - الولايات المتحدة
شراكة ميتشل - كندا
جامعة ميرسر - الولايات المتحدة
شركة 4LEAF, Inc. - الولايات المتحدة
ذا ماكجريجور - الولايات المتحدة
كلية بريدج فالي المجتمعية والتقنية - الولايات المتحدة
ثومبسون بيلدرز - الولايات المتحدة
مجموعة ألاينس سبورتس - الولايات المتحدة
Pak-Rite, Ltd - الولايات المتحدة

‍

التحليل والإسناد

مقدمة:

أكيرا عبارة عن سلالة ضارة من برامج الفدية مصممة لتشفير البيانات على الأنظمة المصابة، وإلحاق ملحق «.akira» بأسماء الملفات المتأثرة، وتقديم مذكرة فدية للضحايا باسم «akira_readme.txt». تعمل برامج الفدية عن طريق حذف نسخ Windows Shadow Volume Copies، مما يجعل استعادة البيانات أكثر صعوبة.

‍

النشر والاستغلال والتسليم:

يتم توزيع Akira بشكل شائع من خلال وسائل مختلفة، بما في ذلك مرفقات البريد الإلكتروني المصابة التي تحتوي على وحدات الماكرو والإعلانات الضارة ومواقع التورنت والبرامج المقرصنة.
بالإضافة إلى ذلك، استنادًا إلى الشركات التابعة، تم اكتشاف استغلال الثغرات الأمنية غير المصححة بشكل شائع على نقاط نهاية VPN والتي تؤدي إلى حركات جانبية تتضمن الاستغلال النشط لتنفيذ التعليمات البرمجية عن بُعد من Vmware ESXI.

‍

نظرة عامة على رانسوم نوت:

عند الإصابة، يقدم أكيرا مذكرة فدية للضحية، مدعيًا أن البنية التحتية الداخلية للشركة إما لا تعمل جزئيًا أو كليًا، مع إزالة جميع النسخ الاحتياطية. كما تنص على أن المهاجمين قد وصلوا إلى كمية كبيرة من بيانات الشركة قبل التشفير. تتضمن المذكرة طلبات فدية معقولة وتقدم عملية تفاوض لمنع العواقب المالية الوخيمة للمنظمة المستهدفة.

‍

تعليمات التفاوض:

توفر مذكرة الفدية إرشادات حول الاتصال بمجرمي الإنترنت عبر متصفح Tor للوصول إلى غرفة الدردشة الخاصة بهم. يتم إعطاء رمز فريد لتسجيل الدخول، ويؤكد المهاجمون أن الاستجابة السريعة من الضحية ستقلل من الضرر المحتمل. عادة ما يتم قبول المدفوعات من خلال العملة المشفرة.

‍

سلوك برامج الفدية:

مثل متغيرات برامج الفدية الأخرى، يمكن لـ Akira الانتشار داخل شبكة الشركة بمجرد دخولها. إنه يستهدف أجهزة متعددة ويقوم بتشفير الملفات لاستخراج مدفوعات الفدية. ومع ذلك، قبل بدء التشفير، يتجنب Akira عمدًا مجلدات معينة مثل سلة المحذوفات ومعلومات وحدة تخزين النظام والتمهيد وProgramData وWindows، إلى جانب ملفات نظام Windows التي تحمل ملحقات .exe و.lnk و.dll و.msi و.sys.

‍

استخراج البيانات:

من السمات المهمة لـ Akira ransomware سرقة التشفير المسبق لبيانات الشركة الحساسة. يستغل المهاجمون هذه المعلومات المسروقة لابتزاز الضحايا، ويهددون بكشفها علنًا إذا لم يتم دفع الفدية على الفور.

‍

التخفيف

قم بتصحيح الثغرات الشائعة التي تم إصدارها بنشاط حيث تميل الشركات التابعة لـ Ransomware إلى الاستغلال الجماعي للراحة والاستغلال السهل للحصول على موطئ قدم أولي داخل الشبكة.
حظر الامتدادات الشائعة الاستخدام لتقديم البرامج الضارة مثل exe، pif، tmp، url، vb، vbe، scr، reg، cer، pst، cmd، com، bat، dll، dat، hta، js، wsf.
قم بتحديث SIEM و SOAR بقاعدة صيد التهديدات المشتركة أدناه لـ Akira Ransomware.
قم بفرز التنبيهات بشكل نشط لوجود واستخدام أدوات مثل AnyDesk و WinRAR و pChunter والتي تُستخدم بشكل شائع أثناء عملية أرشفة البيانات للتسلل والاتصال الخلفي عن بُعد.

مؤشرات التسوية (IOCs)

Indicators of Compromise (IoCs)

SHA256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MITRE ATT&CK Execution and Tactics

Tactics	Processes	Techniques used (ID)
Execution	a. Windows Management Instrumentation b. Shared Modules	TA0002 T1047 T1129
Persistence	a. Browser Extensions b. Registry Run Keys / Startup Folder	TA0003 T1176 T1547.001
Privilege Escalation	a. Registry Run Keys / Startup Folder	TA0004 T1547.001
Defense Evasion	a. Obfuscated Files or Information b. Indicator Removal from Tools c. Virtualization/Sandbox Evasion	TA0005 T1027 T1027.005 T1497
Credential Access	a. OS Credential Dumping	TA0006 T1003
Discovery	a. Application Window b. Process Discovery c. System Information Discovery d. File and Directory Discovery f. Virtualization/Sandbox Evasion g. System Location Discovery	TA0007 T1010 T1057 T1082 T1083 T1497 T1518.001 T1614
Collection	a. Data from Local System b. Browser Session Hijacking	TA0009 T1005 T1185 T1560
Command and Control	a. Proxy b. Ingress Tool Transfer	TA0011 T1090 T1105
Impact	a. Data Encrypted for Impact	TA0034 T1486 TA0040 T1486

‍

قاعدة يارا للكشف - (رابط)

rule win_akira_auto {

    meta:
        author = "Felix Bilstein - yara-signator at cocacoding dot com"
        date = "2023-07-11"
        version = "1"
        description = "Detects win.akira."
        info = "autogenerated rule brought to you by yara-signator"
        tool = "yara-signator v0.6.0"
        signator_config = "callsandjumps;datarefs;binvalue"
        malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira"
        malpedia_rule_date = "20230705"
        malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
        malpedia_version = "20230715"
        malpedia_license = "CC BY-SA 4.0"
        malpedia_sharing = "TLP:WHITE"

    /* DISCLAIMER
     * The strings used in this rule have been automatically selected from the
     * disassembly of memory dumps and unpacked files, using YARA-Signator.
     * The code and documentation is published here:
     * https://github.com/fxb-cocacoding/yara-signator
     * As Malpedia is used as data source, please note that for a given
     * number of families, only single samples are documented.
     * This likely impacts the degree of generalization these rules will offer.
     * Take the described generation method also into consideration when you
     * apply the rules in your use cases and assign them confidence levels.
     */


    strings:
        $sequence_0 = { 4d3bca 7223 49893b 41c7430802000000 41c6431001 e9???????? b8ffffffff }
            // n = 7, score = 100
            //   4d3bca               | mov                 dword ptr [esp + 0x20], ebp
            //   7223                 | inc                 ecx
            //   49893b               | sub                 dh, bh
            //   41c7430802000000     | imul                ebp, edi
            //   41c6431001           | inc                 eax
            //   e9????????           |                     
            //   b8ffffffff           | movsx               eax, dh

        $sequence_1 = { e8???????? 4c8bc0 488bd3 488d4c2440 e8???????? 488d154de80600 488d4c2440 }
            // n = 7, score = 100
            //   e8????????           |                     
            //   4c8bc0               | dec                 eax
            //   488bd3               | sub                 esp, ecx
            //   488d4c2440           | dec                 eax
            //   e8????????           |                     
            //   488d154de80600       | lea                 ebx, [esp + 0x50]
            //   488d4c2440           | dec                 eax

        $sequence_2 = { 488d8597010000 4c8bc7 0f1f840000000000 49ffc0 6642833c4000 75f5 488d9597010000 }
            // n = 7, score = 100
            //   488d8597010000       | dec                 eax
            //   4c8bc7               | mov                 eax, dword ptr [ebp - 8]
            //   0f1f840000000000     | dec                 eax
            //   49ffc0               | mov                 ebx, dword ptr [eax + 0x88]
            //   6642833c4000         | dec                 eax
            //   75f5                 | mov                 eax, dword ptr [ebp - 0x20]
            //   488d9597010000       | dec                 eax

        $sequence_3 = { 742c 4c8bc6 488d15fbf80400 488bcf e8???????? 488d55c0 48837dd810 }
            // n = 7, score = 100
            //   742c                 | dec                 eax
            //   4c8bc6               | mov                 edi, eax
            //   488d15fbf80400       | jmp                 0x3c2
            //   488bcf               | dec                 ecx
            //   e8????????           |                     
            //   488d55c0             | mov                 edi, ebp
            //   48837dd810           | dec                 eax

        $sequence_4 = { 488bd9 488bc2 488d0d45550400 0f57c0 488d5308 48890b 488d4808 }
            // n = 7, score = 100
            //   488bd9               | mov                 edi, dword ptr [edi + 8]
            //   488bc2               | dec                 eax
            //   488d0d45550400       | test                edi, edi
            //   0f57c0               | jne                 0x4f
            //   488d5308             | dec                 eax
            //   48890b               | mov                 edi, dword ptr [ebp - 0x79]
            //   488d4808             | dec                 eax

        $sequence_5 = { 488d542420 e8???????? 8bf8 85c0 750d f744243010000000 0f95c3 }
            // n = 7, score = 100
            //   488d542420           | test                edi, edi
            //   e8????????           |                     
            //   8bf8                 | jne                 0x649
            //   85c0                 | mov                 edx, dword ptr [esp + 0x3b8]
            //   750d                 | cmp                 edx, 0x3b9aca00
            //   f744243010000000     | dec                 eax
            //   0f95c3               | lea                 eax, [esp + 0x50]

        $sequence_6 = { 488b842430010000 668910 4c892b e8???????? eb7a 0f1f00 488d4b28 }
            // n = 7, score = 100
            //   488b842430010000     | add                 edx, ecx
            //   668910               | dec                 eax
            //   4c892b               | sar                 edx, 6
            //   e8????????           |                     
            //   eb7a                 | dec                 eax
            //   0f1f00               | mov                 eax, edx

برنامج Akira Ransomware: ما تحتاج إلى معرفته