Akira
Akira是2023年4月首次出现的团伙。研究人员很快发现其文件加密程序在代码上与已解散的Conti团伙的勒索软件有很多相似之处。不过Conti的加密程序源代码已经泄露,所以相似性并不一定意味着它们之间有紧密联系,但区块链分析确实发现了Akira可能与Conti有关联的潜在线索。 这个新的Akira团伙不应与2017年活跃的同名勒索软件混淆,后者可能并无关联,尽管两个团伙都使用.akira作为加密文件扩展名。 随后,于 2023 年 7 月 2 日发布了修复解密漏洞的版本。从那时起,据说新版本是用 Rust 编写的,这次称为“megazord.exe”,它将加密文件的扩展名更改为“.powerranges”。 Akira 的大多数初始访问向量在 Cisco VPN 设备上使用暴力破解尝试(仅使用单因素身份验证)。
首次出现时间:
2023/4
攻击方法:
1.1 初始访问
FBI 和网络安全研究人员观察到 Akira 威胁行为者通过虚拟专用网络 (VPN) 服务获得对组织的初始访问权限,而无需配置多因素身份验证 ,主要使用已知的 Cisco 漏洞 CVE-2020-3259 和 CVE-2023-20269。 其他初始访问方法包括使用面向外部的服务,例如远程桌面协议 (RDP) 鱼叉式网络钓鱼 ,以及滥用有效凭证
1.2 持久性和发现
一旦获得初始访问权限,Akira 威胁行为者就会试图通过创建新的域帐户来滥用域控制器的功能来建立持久性。在某些情况下,FBI 发现 Akira 威胁行为者创建了一个名为 .itadm 根据 FBI 和开源报告,Akira 威胁行为者利用利用后攻击技术,例如 Kerberoasting,以提取存储在本地安全机构子系统服务 (LSASS)Akira 威胁行为者还使用 Mimikatz 和 LaZagne 等凭据抓取工具 来帮助权限提升。SoftPerfect 和 Advanced IP Scanner 等工具通常用于网络设备发现(侦察)目的 和 Windows 命令用于识别域控制器 并收集有关域信任关系的信息.net 有关这些工具的描述性列表,请参见表 1。
1.3 防御闪避
根据可信的第三方调查,已观察到 Akira 威胁行为者在同一入侵事件中针对不同的系统架构部署了两种不同的勒索软件变体。这标志着与最近报告的 Akira 勒索软件活动不同。首先观察到 Akira 威胁行为者部署了特定于 Windows 的“Megazord”勒索软件,进一步分析显示,在此攻击中同时部署了第二个有效载荷(后来被确定为 Akira ESXi 加密器“Akira_v2”的新变体)。 当 Akira 威胁行为者准备横向移动时,他们通常会禁用安全软件以避免被发现。网络安全研究人员观察到 Akira 威胁行为者使用 PowerTool 利用 Zemana AntiMalware 驱动程序并终止与防病毒相关的进程。
1.4 渗漏和影响
Akira 威胁行为者利用 FileZilla、WinRAR、WinSCP 和 RClone 等工具来泄露数据。为了建立命令和控制渠道,威胁行为者利用 AnyDesk、MobaXterm、RustDesk、Ngrok 和 Cloudflare Tunnel 等现成的工具,通过各种协议(如文件传输协议 (FTP)、安全文件传输协议 (SFTP))和云存储服务(如 Mega)进行渗透,以连接到渗透服务器。 Akira 威胁行为者使用双重勒索模型和加密系统 泄露数据后。Akira 赎金记录为每家公司提供了一个唯一的代码和说明,以便通过 URL 联系威胁行为者。Akira 威胁行为者不会在受感染的网络上留下初始赎金要求或付款说明,也不会在受害者联系之前传递此信息。赎金以比特币支付给威胁行为者提供的加密货币钱包地址。根据 FBI 的报告,为了进一步施加压力,Akira 威胁行为者威胁要在 Tor 网络上发布泄露的数据,在某些情况下还打电话给受害公司.a .onion
勒索地址:
平台一、自建暗网网站(Tor)
1.1登录页:
- 地址: https://xxxxxxxxxxxxrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
- 界面:
- 解释: 这是Akira的暗网网站登录页面,想要进入里面的详情页面需要输入勒索信中提供的id
1.2 谈判页:
- 地址:暂未信息
- 界面:
- 解释:现已无法登录!
1.3 博客页面(blog)
- 地址: http://xxxxxxxxxxxxxxxxayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
- 界面:暂未信息
- 解释:现已无法登录!
捕获分析:
暂未信息
加密算法:
Akira 威胁行为者利用复杂的混合加密方案来锁定数据。这涉及将 ChaCha20 流密码与 RSA 公钥密码系统相结合,以实现速度和安全的密钥交换 。这种多层方法根据文件类型和大小定制加密方法,并且能够进行完全或部分加密。加密文件附加有 a 或 扩展名。为了进一步抑制系统恢复,Akira 的加密程序 () 利用 PowerShell 命令删除 Windows 系统上的卷影副本 。此外,名为 的赎金票据将同时出现在根目录 () 和每个用户的主目录 () 中。.akira.powerrangesw.exefn.txt C:C:\Users 受信任的第三方分析确定,Akira_v2 加密器是其先前版本的升级,由于它是用 (Rust) 编写的语言,因此包括额外的功能。早期版本的加密程序提供了在运行时插入参数的选项,包括:
- -p --encryption_path (targeted file/folder paths)
- -s --share_file (targeted network drive path)
- -n --encryption_percent (percentage of encryption)
- --fork (create a child process for encryption
插入额外线程的能力使 Akira 威胁行为者能够更精细地控制正在使用的 CPU 内核数量,从而提高加密过程的速度和效率。新版本还增加了一层保护,利用 Build ID 作为运行条件来阻碍动态分析。如果没有唯一的内部版本 ID,加密程序将无法成功执行。在 Akira_v2 中还观察到仅使用 “” 针对虚拟机进行部署的能力以及停止运行具有 “” 功能的虚拟机的能力。加密后,Linux ESXi 变体可能包含文件扩展名 “” 或在文件使用新命名法加密的目录中添加名为 “” 的赎金票据。vmonlystopvmakiranewakiranew.txt
加密钱包:
信息来源:Solar团队通过Ransomware.live官方文档获取
| bc1q6dqe4esmqejmxhpj95qadv0j4clsqcxxp4cd94 |
|---|
| bc1qandfxc4knaf943njca77edl9mmegzs83tv8lpx |
| bc1qr0pqfghr9cksfc5arr2rak3lt2y50v03pc76nh |
| bc1qpwwtck0zhzrj56fxeayz6wz5546nlp607qzpvh |
| bc1qghj85gz0DKR9jeucana3z4xu50ujtllj50rvj0 |
| bc1qcnw5v94y40ast06eatgalnjpluu2p067qewh46 |
受害者勒索金额:
| 名字 | # 消息 | 初始赎金 | 协商赎金 | 支付 |
|---|---|---|---|---|
| 20231112 | 58 | 250,000 美元 | 150,000 美元 | 已支付 |
| 20240509 | 170 | 1,700,000 美元 | 225,000 元 | 已支付 |
| 20240410 | 16 | 150,000 美元 | 不适用 | |
| 20240201 | 40 | 350,000 美元 | 120,000 美元 | |
| 20231209 | 112 | 180,000 美元 | 105,000 美元 | 已支付 |
| 20230719 | 4 | 不适用 | 不适用 | |
| 20240329 | 65 | 2,000,000 美元 | 1,075,995 美元 | 已支付 |
| 20240317 | 8 | 10,000,000 美元 | 不适用 | |
| 20230529 | 7 | 900,000 元 | 不适用 | |
| 20230628 | 5 | 不适用 | 不适用 | |
| 20240127 | 41 | 300,000 美元 | 不适用 | |
| 20230727 | 72 | 250,000 美元 | 110,000 美元 | 已支付 |
| 20240131 | 75 | 4,000,000 美元 | 150,000 美元 | 已支付 |
| 20240718 | 105 | 不适用 | 不适用 | |
| 20230606 | 13 | 不适用 | 不适用 | |
| 20240611 | 50 | 220,000 美元 | 90,000 美元 | |
| 20240129 | 70 | 275,000 元 | 140,000 美元 | 已支付 |
| 20231227 | 74 | 100,000 美元 | 不适用 | |
| 20240620 | 7 | 不适用 | 不适用 | |
| 20230728 | 5 | 不适用 | 不适用 | |
| 20230929 | 58 | 300,000 美元 | 250,000 美元 | |
| 20230815 | 84 | 2,400,000 美元 | 1,000,000 美元 | 已支付 |
| 20231217 | 67 | 250,000 美元 | 150,000 美元 | 已支付 |
| 20230616 | 80 | 160,000 美元 | 75,000 美元 | 已支付 |
| 20230707 | 37 | 350,000 美元 | 280,000 美元 | |
| 20240618 | 53 | 400,000 美元 | 300,000 美元 | 已支付 |
| 20240531 | 55 | 690,000 美元 | 不适用 | |
| 20231115 | 81 | 250,000 美元 | 100,000 美元 | 已支付 |
| 20230722 | 9 | 不适用 | 不适用 | |
| 20240424 | 70 | 3,500,000 美元 | 500,000 美元 | 已支付 |
谈判记录:
地址: https://www.ransomware.live/nego/akira/20231112
概述: 这是关于一个名为 “Akira” 的勒索软件团伙的谈判记录。记录显示了一个与该团伙的对话过程,包括对文件的加密、解密服务的讨论,以及支付赎金的谈判。对话中提到了一些文件被加密,并且团伙提供了部分解密文件的证明。此外,还有关于支付赎金的金额的讨价还价,最终双方达成了一个协议。整个对话过程涉及到了多个步骤,包括验证备份内容、安全移除U盘等。
结果:成功
赎金金额:150,000 美元
图示:
近期攻击案例:
暂未信息
变种演化:
| 时间 | 种类 |
|---|---|
| 2023年4月 | .akira |
| 2023年7月 | .powerranges |
IOC 信息
| 1.与 Akira Ransomware 相关的恶意文件 | ||
|---|---|---|
| 文件名 | 哈希 (SHA-256) | 描述 |
| w.exe | d2fd0654710c27dcf37b6c1437880020824e161dd0bf28e3a133ed777242a0ca | Akira 勒索软件 |
| Win.exe | dcfa2800754e5722acf94987bb03e814edcb9acebda37df6da1987bf48e5b05e | Akira 勒索软件加密程序 |
| AnyDesk.exe | bc747e3bf7b6e02c09f3d18bdd0e64eef62b940b2f16c9c72e647eec85cf0138 | 远程桌面应用程序 |
| Gcapi.dll | 73170761d6776c0debacfbbc61b6988cb8270a20174bf5c049768a264bb8ffaf | DLL 文件,用于帮助执行 AnyDesk.exe |
| Sysmon.exe | 1b60097bf1ccb15a952e5bcc3522cf5c162da68c381a76abc2d5985659e4d386 | 用于持久性的 Ngrok 工具 |
| Config.yml | Varies by use | Ngrok 配置文件 |
| Rclone.exe | aaa647327ba5b855bedea8e889b3fafdc05a6ca75d1cfd98869432006d6fecc9 | Exfiltration 工具 |
| Winscp.rnd | 7d6959bb7a9482e1caa83b16ee01103d982d47c70c72fdd03708e2b7f4c552c4 | 网络文件传输程序 |
| WinSCP-6.1.2-Setup.exe | 36cc31f0ab65b745f25c7e785df9e72d1c8919d35a1d7bd4ce8050c8c068b13c | 网络文件传输程序 |
| Akira_v2 | 3298d203c2acb68c474e5fdad8379181890b4403d6491c523c13730129be3f750ee1d284ed663073872012c7bde7fac5ca1121403f1a5d2d5411317df282796c | Akira_v2 勒索软件 |
| Megazord | ...... | Akira “Megazord” 勒索软件 |
| VeeamHax.exe | aaa6041912a6ba3cf167ecdb90a434a62feaf08639c59705847706b9f492015d | 明文凭证泄露工具 |
| Veeam-Get-Creds.ps1 | 18051333e658c4816ff3576a2e9d97fe2a1196ac0ea5ed9ba386c46defafdb88 | 用于从 Veeam 服务器获取和解密帐户的 PowerShell 脚本 |
| PowershellKerberos TicketDumper | 5e1e3bf6999126ae4aa52146280fdb913912632e8bac4f54e98c58821a307d32 | 来自 LSA 缓存的 Kerberos 票证转储工具 |
| sshd.exe | 8317ff6416af8ab6eb35df3529689671a700fdb61a5e6436f4d6ea8ee002d694 | OpenSSH 后门 |
| ipscan-3.9.1-setup.exe | 892405573aa34dfc49b37e4c35b655543e88ec1c5e8ffb27ab8d1bbf90fc6ae0 | 扫描 IP 地址和端口的网络扫描程序 |
| 2. 与 Akira Ransomware 相关的恶意文件(MD5) | ||
|---|---|---|
| 文件名 | 哈希 (MD5) | 描述 |
| winrar-x64-623.exe | 7a647af3c112ad805296a22b2a276e7c | 网络文件传输程序 |
| 3. Windows Akira 勒索软件示例 |
|---|
| 哈希 (SHA-256) |
| 0b5b31af5956158bfbd14f6cbf4f1bca23c5d16a40dbf3758f3289146c565f43 |
| 0d700ca5f6cc093de4abba9410480ee7a8870d5e8fe86c9ce103eec3872f225f |
| a2df5477cf924bd41241a3326060cc2f913aff2379858b148ddec455e4da67bc |
| 03aa12ac2884251aa24bf0ccd854047de403591a8537e6aba19e822807e06a45 |
| 2e88e55cc8ee364bf90e7a51671366efb3dac3e9468005b044164ba0f1624422 |
| 40221e1c2e0c09bc6104548ee847b6ec790413d6ece06ad675fff87e5b8dc1d5 |
| 5ea65e2bb9d245913ad69ce90e3bd9647eb16d992301145372565486c77568a2 |
| 643061ac0b51f8c77f2ed202dc91afb9879f796ddd974489209d45f84f644562 |
| 6f9d50bab16b2532f4683eeb76bd25449d83bdd6c85bf0b05f716a4b49584f84 |
| fef09b0aa37cbdb6a8f60a6bd8b473a7e5bffdc7fd2e952444f781574abccf64 |
| 4. Linux/Unix Akira 勒索软件可执行文件和可链接格式 (ELF) 示例 |
|---|
| 哈希 (SHA-256) |
| e1321a4b2b104f31aceaf4b19c5559e40ba35b73a754d3ae13d8e90c53146c0f |
| 74f497088b49b745e6377b32ed5d9dfaef3c84c7c0bb50fabf30363ad2e0bfb1 |
| 3d2b58ef6df743ce58669d7387ff94740ceb0122c4fc1c4ffd81af00e72e60a4 |
| ** 5. 与 Akira Ransomware 相关的命令 ** | |
|---|---|
| **种类 ** | 描述 |
| 持久性和发现(Persistence and Discovery) | nltest /dclist |
| 持久性和发现(Persistence and Discovery) | nltest /DOMAIN_TRUSTS |
| 持久性和发现(Persistence and Discovery) | 网络组 “Domain admins” /dom |
| 持久性和发现(Persistence and Discovery) | net localgroup “管理员” /dom |
| 持久性和发现(Persistence and Discovery) | tasklist |
| 持久性和发现(Persistence and Discovery) | rundll32.exe c:\Windows\System32\comsvcs.dll、MiniDump ((Get-Process lsass) .Id) C:\windows\temp\lsass.dmp full |
| 凭证访问(Credential Access) | cmd.exe /Q /c esentutl.exe /y“C:\Users\AppData\Roaming\Mozilla\Firefox\Profiles.default-release\key4.db” /d“C:\Users\AppData\Roaming\Mozilla\Firefox\Profiles.default-release\key4.db.tmp”**注意:**用于访问 Firefox 数据 |
| 凭证访问(Credential Access) | cmd.exe /Q /c esentutl.exe /y“C:\Users\AppData\Local\Google\Chrome\User Data\Default\Login Data” /d“C:\Users\AppData\Local\Google\Chrome\User Data\Default\Login Data.tmp”**注意:**用于访问 Google Chrome 数据 |
| 冲击(Impact) | powershell.exe -command “Get-WmiObject Win32_Shadowcopy Remove-WmiObject“ |
18363040868
