Sumário executivo

A equipe de pesquisa de ameaças da CloudSEK investigou o Akira Ransomware e os destaques rápidos são os seguintes:

Primeira infecção relatada em 2017 por Karsten Hahn no Twitter.
Tem como alvo sistemas baseados em Windows e Linux.
Utiliza criptografia simétrica com CryptGenRandom () e Chacha 2008 para criptografia de arquivos.
Compartilha semelhanças com o vazamento do ransomware Conti v2, de acordo com a pesquisa da Avast.
Avast lançou um decodificador para o Akira Ransomware voltado para sistemas baseados em Windows de 64 e 32 bits.
Dados vazados oferecidos por meio de Torrents e links de download direto no mesmo site baseado em Tor.

Site do TOR

akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad [.] cebola

‍

Captura de tela da imagem do site baseado em Tor.

‍

Vítimas listadas no site

Soluções de pessoal para hospitalidade - Estados Unidos
A cidade de Nassau Bay - Bahamas
Computer Information Concepts Inc - Estados Unidos
Fersten Worldwide - Canadá
Produtos de malte - Estados Unidos
Schottenstein Property Group - Estados Unidos
Gregory Poole - Estados Unidos
Serviços de creche familiar - Austrália
Columbia Distributing - Estados Unidos
Filial Estudantil de Ipleiria - Portugal
New World Travel, Inc - Estados Unidos
The Mitchell Partnership - Canadá
Mercer University - Estados Unidos
4LEAF, Inc. - Estados Unidos
The McGregor - Estados Unidos
Faculdade Técnica e Comunitária de BridgeValley - Estados Unidos
Thompson Builders - Estados Unidos
Alliance Sports Group - Estados Unidos
Pak-Rite, Ltd - Estados Unidos

‍

Análise e atribuição

Introdução:

O Akira é uma variedade de ransomware maliciosa projetada para criptografar dados em sistemas infectados, anexando a extensão “.akira” aos nomes dos arquivos afetados e apresentando às vítimas uma nota de resgate chamada “akira_readme.txt”. O ransomware opera excluindo cópias de volume do Windows Shadow, tornando a recuperação de dados mais desafiadora.

‍

Propagação, exploração e entrega:

O Akira é comumente distribuído por vários meios, incluindo anexos de e-mail infectados contendo macros, anúncios maliciosos, sites de torrent e software pirateado.
Além disso, com base nas afiliadas, foi descoberta a exploração de vulnerabilidades normalmente não corrigidas em endpoints de VPN, levando a movimentos laterais, incluindo a exploração ativa da execução remota de código do Vmware ESXI.

‍

Visão geral do Ransom Note:

Após a infecção, Akira apresenta uma nota de resgate à vítima, alegando que a infraestrutura interna da empresa está parcial ou totalmente não funcional, com todos os backups removidos. Também afirma que os atacantes acessaram uma quantidade significativa de dados corporativos antes da criptografia. A nota inclui pedidos de resgate razoáveis e oferece um processo de negociação para evitar graves consequências financeiras para a organização-alvo.

‍

Instruções para negociação:

A nota de resgate fornece orientação sobre como entrar em contato com os cibercriminosos por meio de um navegador Tor para acessar sua sala de bate-papo. Um código exclusivo é fornecido para o login, e os atacantes enfatizam que uma resposta rápida da vítima minimizará os possíveis danos. Os pagamentos geralmente são aceitos por meio de criptomoedas.

‍

Comportamento do ransomware:

Como outras variantes de ransomware, o Akira pode se espalhar dentro de uma rede corporativa assim que entrar. Ele tem como alvo vários dispositivos e criptografa arquivos para extrair pagamentos de resgate. No entanto, antes de iniciar a criptografia, o Akira evita deliberadamente pastas específicas, como Lixeira, Informações de Volume do Sistema, Boot, ProgramData e Windows, além de arquivos do sistema Windows com as extensões.exe, .lnk, .dll, .msi e.sys.

‍

Exfiltração de dados:

Uma característica significativa do ransomware Akira é o roubo pré-criptografado de dados corporativos confidenciais. Os atacantes aproveitam essas informações roubadas para extorquir as vítimas, ameaçando expô-las publicamente se o resgate não for pago imediatamente.

‍

Mitigação

Corrija ativamente vulnerabilidades populares lançadas, pois os afiliados do Ransomware tendem a explorar em massa por conveniência e facilitar a exploração para ganhar uma posição inicial na rede.
Bloqueie extensões comumente usadas para fornecer malware, como exe, pif, tmp, url, vb, vbe, scr, reg, cer, pst, cmd, com, bat, dll, dat, hlp, hta, js, wsf.
Atualize o SIEM e o SOAR com a regra compartilhada de caça a ameaças abaixo para o Akira Ransomware.
Faça a triagem ativa de alertas de presença e uso de ferramentas como AnyDesk, WinRAR e PCHunter, que são comumente usadas durante o processo de arquivamento dos dados para exfiltração e conexão remota por backdoor.

Indicadores de compromisso (IOCs)

Indicators of Compromise (IoCs)

SHA256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MITRE ATT&CK Execution and Tactics

Tactics	Processes	Techniques used (ID)
Execution	a. Windows Management Instrumentation b. Shared Modules	TA0002 T1047 T1129
Persistence	a. Browser Extensions b. Registry Run Keys / Startup Folder	TA0003 T1176 T1547.001
Privilege Escalation	a. Registry Run Keys / Startup Folder	TA0004 T1547.001
Defense Evasion	a. Obfuscated Files or Information b. Indicator Removal from Tools c. Virtualization/Sandbox Evasion	TA0005 T1027 T1027.005 T1497
Credential Access	a. OS Credential Dumping	TA0006 T1003
Discovery	a. Application Window b. Process Discovery c. System Information Discovery d. File and Directory Discovery f. Virtualization/Sandbox Evasion g. System Location Discovery	TA0007 T1010 T1057 T1082 T1083 T1497 T1518.001 T1614
Collection	a. Data from Local System b. Browser Session Hijacking	TA0009 T1005 T1185 T1560
Command and Control	a. Proxy b. Ingress Tool Transfer	TA0011 T1090 T1105
Impact	a. Data Encrypted for Impact	TA0034 T1486 TA0040 T1486

‍

Regra Yara para detecção - (Link)

rule win_akira_auto {

    meta:
        author = "Felix Bilstein - yara-signator at cocacoding dot com"
        date = "2023-07-11"
        version = "1"
        description = "Detects win.akira."
        info = "autogenerated rule brought to you by yara-signator"
        tool = "yara-signator v0.6.0"
        signator_config = "callsandjumps;datarefs;binvalue"
        malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.akira"
        malpedia_rule_date = "20230705"
        malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
        malpedia_version = "20230715"
        malpedia_license = "CC BY-SA 4.0"
        malpedia_sharing = "TLP:WHITE"

    /* DISCLAIMER
     * The strings used in this rule have been automatically selected from the
     * disassembly of memory dumps and unpacked files, using YARA-Signator.
     * The code and documentation is published here:
     * https://github.com/fxb-cocacoding/yara-signator
     * As Malpedia is used as data source, please note that for a given
     * number of families, only single samples are documented.
     * This likely impacts the degree of generalization these rules will offer.
     * Take the described generation method also into consideration when you
     * apply the rules in your use cases and assign them confidence levels.
     */


    strings:
        $sequence_0 = { 4d3bca 7223 49893b 41c7430802000000 41c6431001 e9???????? b8ffffffff }
            // n = 7, score = 100
            //   4d3bca               | mov                 dword ptr [esp + 0x20], ebp
            //   7223                 | inc                 ecx
            //   49893b               | sub                 dh, bh
            //   41c7430802000000     | imul                ebp, edi
            //   41c6431001           | inc                 eax
            //   e9????????           |                     
            //   b8ffffffff           | movsx               eax, dh

        $sequence_1 = { e8???????? 4c8bc0 488bd3 488d4c2440 e8???????? 488d154de80600 488d4c2440 }
            // n = 7, score = 100
            //   e8????????           |                     
            //   4c8bc0               | dec                 eax
            //   488bd3               | sub                 esp, ecx
            //   488d4c2440           | dec                 eax
            //   e8????????           |                     
            //   488d154de80600       | lea                 ebx, [esp + 0x50]
            //   488d4c2440           | dec                 eax

        $sequence_2 = { 488d8597010000 4c8bc7 0f1f840000000000 49ffc0 6642833c4000 75f5 488d9597010000 }
            // n = 7, score = 100
            //   488d8597010000       | dec                 eax
            //   4c8bc7               | mov                 eax, dword ptr [ebp - 8]
            //   0f1f840000000000     | dec                 eax
            //   49ffc0               | mov                 ebx, dword ptr [eax + 0x88]
            //   6642833c4000         | dec                 eax
            //   75f5                 | mov                 eax, dword ptr [ebp - 0x20]
            //   488d9597010000       | dec                 eax

        $sequence_3 = { 742c 4c8bc6 488d15fbf80400 488bcf e8???????? 488d55c0 48837dd810 }
            // n = 7, score = 100
            //   742c                 | dec                 eax
            //   4c8bc6               | mov                 edi, eax
            //   488d15fbf80400       | jmp                 0x3c2
            //   488bcf               | dec                 ecx
            //   e8????????           |                     
            //   488d55c0             | mov                 edi, ebp
            //   48837dd810           | dec                 eax

        $sequence_4 = { 488bd9 488bc2 488d0d45550400 0f57c0 488d5308 48890b 488d4808 }
            // n = 7, score = 100
            //   488bd9               | mov                 edi, dword ptr [edi + 8]
            //   488bc2               | dec                 eax
            //   488d0d45550400       | test                edi, edi
            //   0f57c0               | jne                 0x4f
            //   488d5308             | dec                 eax
            //   48890b               | mov                 edi, dword ptr [ebp - 0x79]
            //   488d4808             | dec                 eax

        $sequence_5 = { 488d542420 e8???????? 8bf8 85c0 750d f744243010000000 0f95c3 }
            // n = 7, score = 100
            //   488d542420           | test                edi, edi
            //   e8????????           |                     
            //   8bf8                 | jne                 0x649
            //   85c0                 | mov                 edx, dword ptr [esp + 0x3b8]
            //   750d                 | cmp                 edx, 0x3b9aca00
            //   f744243010000000     | dec                 eax
            //   0f95c3               | lea                 eax, [esp + 0x50]

        $sequence_6 = { 488b842430010000 668910 4c892b e8???????? eb7a 0f1f00 488d4b28 }
            // n = 7, score = 100
            //   488b842430010000     | add                 edx, ecx
            //   668910               | dec                 eax
            //   4c892b               | sar                 edx, 6
            //   e8????????           |                     
            //   eb7a                 | dec                 eax
            //   0f1f00               | mov                 eax, edx