Cobertura SafeBreach para AA24-109A (Akira Ransomware) – Fuente: securityboulevard.com

Autor: Kaustubh Jagtap, director de marketing de productos, SafeBreach El 18 de abril, la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos, el Centro Europeo de Ciberdelincuencia (EC3) de Europol y la Seguridad Cibernética Nacional de los Países Bajos Center (NCSC-NL) emitió un aviso urgente sobre el comportamiento malicioso exhibido recientemente por el ransomware Akira (a partir de febrero de 2024). Se puede ver información detallada sobre estas amenazas y los IOC y TTP asociados en #StopRansomware: Akira Ransomware. Este blog compartirá una descripción general de la amenaza y nuestra cobertura para esta variante de ransomware. Como cliente de SafeBreach, tendrá acceso a todos los ataques que se enumeran a continuación y más para validar los controles de seguridad de su organización contra esta avanzada familia de ransomware. AA24-109A – Akira Ransomware – Lo que debe saber Los TTP y los IOC identificados en este aviso fueron el resultado de una investigación dirigida por el FBI (en asociación con un tercero confiable). Según la información disponible, el ransomware Akira se ha dirigido a una amplia gama de empresas y entidades de infraestructura crítica desde marzo de 2023 en América del Norte, Europa y Australia. Durante los ataques iniciales, los actores de amenazas que aprovecharon el ransomware Akira se dirigieron a sistemas exclusivos de Windows. Sin embargo, en abril de 2023, comenzaron a apuntar a las máquinas virtuales VMware ESXi a través de una nueva variante de Linux. Se cree que a principios de este año, el grupo de ransomware Akira ha impactado con éxito a más de 250 organizaciones y ha extorsionado a las víctimas con casi 42 millones de dólares. Las primeras versiones de la variante de ransomware se escribieron en C++ y cifraron archivos con una extensión .akira. Sin embargo, a partir de agosto de 2023, algunos ataques de ransomware Akira comenzaron a implementar Megazord, aprovechando el código basado en Rust que cifra archivos con una extensión .powerranges. Según la investigación actual, los actores de amenazas de Akira han estado usando las variantes Megazord y Akira (incluido Akira v2) indistintamente para apuntar a las víctimas. Un ataque típico de ransomware Akira se desarrolla de la siguiente manera: Acceso inicial: los actores de amenazas obtienen acceso a las víctimas a través de un servicio de red privada virtual (VPN) sin autenticación multifactor (MFA) configurada, principalmente utilizando las vulnerabilidades conocidas de Cisco CVE-2020-3259 y CVE-2023- 20269. También se ha observado que obtienen acceso mediante servicios externos como el Protocolo de escritorio remoto (RDP), phishing y abusan de credenciales válidas. Persistencia y descubrimiento: una vez que obtienen acceso a las redes de las víctimas, los actores de amenazas intentan abusar de las funciones del controlador de dominio creando nuevas cuentas de dominio, incluida la creación de una cuenta de administrador llamada itadm. Al aprovechar Kerberoasting, se ha observado que los actores de amenazas extraen credenciales almacenadas de la memoria de proceso del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS). Además, se sabe que estos actores de amenazas utilizan herramientas de extracción de credenciales como Mimikatz y LaZagne para aumentar aún más los privilegios. También se utilizaron herramientas como SoftPerfect y Advanced IP Scanner para fines de descubrimiento (reconocimiento) de dispositivos de red y se aprovecharon los comandos netos de Windows para identificar controladores de dominio y recopilar información sobre las relaciones de confianza del dominio. Evasión de defensa: se observó que los actores de amenazas implementaban 2 variantes distintas de ransomware contra diferentes sistemas. arquitecturas dentro del mismo evento de compromiso. Se observó por primera vez a los actores de amenazas de Akira implementando el ransomware “Megazord” específico de Windows, y un análisis más detallado reveló que se implementó simultáneamente una segunda carga útil en este ataque (posteriormente identificada como una variante novedosa del cifrado Akira ESXi, “Akira_v2”). Para garantizar un movimiento lateral sin obstáculos dentro de la red de la víctima, los actores de amenazas desactivan el software de seguridad para evitar la detección, incluido el uso de PowerTool para explotar el controlador Zemana AntiMalware y finalizar cualquier proceso relacionado con el antivirus. Exfiltración e impacto: los actores de amenazas aprovechan herramientas como FileZilla, WinRAR, WinSCP y RClone para exfiltrar datos. Para establecer canales de comando y control, los actores de amenazas aprovechan herramientas disponibles como AnyDesk, MobaXterm, RustDesk, Ngrok y Cloudflare Tunnel, lo que permite la filtración a través de varios protocolos como el Protocolo de transferencia de archivos (FTP), el Protocolo seguro de transferencia de archivos (SFTP) y la nube. servicios de almacenamiento como Mega para conectarse a servidores de exfiltración. Los actores de amenazas utilizan la doble extorsión para cifrar los sistemas de las víctimas después de extraer datos robados. La nota de rescate de Akira proporciona a cada empresa un código único e instrucciones para contactar a los actores de la amenaza a través de una URL .onion. Los actores de amenazas de Akira no dejan una solicitud de rescate inicial ni instrucciones de pago en las redes comprometidas, y no transmiten esta información hasta que la víctima se pone en contacto con ellos. Los pagos de rescate se pagan en Bitcoin a direcciones de billeteras de criptomonedas proporcionadas por los actores de amenazas. Cifrado: los actores de amenazas de Akira utilizan un sofisticado esquema de cifrado híbrido para bloquear los datos. Esto implica combinar un cifrado de flujo ChaCha20 con un criptosistema de clave pública RSA para un intercambio de claves rápido y seguro. Este enfoque adapta los métodos de cifrado según el tipo y tamaño del archivo y es capaz de cifrar total o parcialmente. Los archivos cifrados se adjuntan con una extensión .akira o .powerranges. Para inhibir aún más la recuperación del sistema, el cifrador de Akira (w.exe) utiliza comandos de PowerShell para eliminar instantáneas de volumen (VSS) en sistemas Windows. Nota importante para los clientes de SafeBreach: Cobertura para US-CERT AA24-109A Tan pronto como los detalles estuvieron disponibles, los equipos de SafeBreach Labs agregaron nuevos ataques basados ​​en el aviso y asignaron los ataques existentes en el Hacker’s Playbook a estas alertas de US-CERT de inmediato. Es importante señalar que los clientes existentes de SafeBreach ya tenían un buen nivel de cobertura contra la variante del ransomware Akira identificada en los avisos. Ejecute o vuelva a ejecutar los ataques que se enumeran a continuación para garantizar que sus entornos estén protegidos contra estos TTP. Ataques existentes basados ​​en el manual de estrategias del COI relacionados con AA24-109A #9003 – Escribir el ransomware Akira (8ab296) en el disco #9004 – Fase previa a la ejecución del ransomware Akira (8ab296) (Linux) #9005 – Transferencia del ransomware Akira (8ab296) a través de HTTP /S #9006 – Transferencia de ransomware Akira (8ab296) a través de HTTP/S #9007 – Envíe por correo electrónico el ransomware Akira (8ab296) como un archivo adjunto comprimido #9008 – Envíe un correo electrónico con el ransomware Akira (8ab296) como un archivo adjunto comprimido #9036 – Escriba Akira (e612b4) ransomware al disco #9037 – Fase previa a la ejecución del ransomware Akira (e612b4) (Windows) #9038 – Transferencia del ransomware Akira (e612b4) a través de HTTP/S #9039 – Transferencia del ransomware Akira (e612b4) a través de HTTP/S #9040 – Envíe por correo electrónico el ransomware Akira (e612b4) como un archivo adjunto comprimido #9041 – Envíe por correo electrónico el ransomware Akira (e612b4) como un archivo adjunto comprimido NUEVOS ataques de manual basados ​​en el COI relacionados con AA24-109A Akira (Megazord) #9993 – Escriba el ransomware Akira (Megazord) (c53198) al disco #9994 – Fase previa a la ejecución del ransomware Akira (Megazord) (c53198) (Windows) #9995 – Transferencia del ransomware Akira (Megazord) (c53198) a través de HTTP/S #9996 – Transferencia de Akira (Megazord) (c53198) ransomware a través de HTTP/S #9997 – Envíe por correo electrónico el ransomware Akira (Megazord) (c53198) como un archivo adjunto comprimido #9998 – Envíe por correo electrónico el ransomware Akira (Megazord) (c53198) como un archivo adjunto comprimido Akira_v2 #9999 – Escriba el ransomware Akira_v2 (be3f75) en el disco # 10000 – Fase previa a la ejecución del ransomware Akira_v2 (be3f75) (Linux) #10001 – Transferencia del ransomware Akira_v2 (be3f75) a través de HTTP/S #10002 – Transferencia del ransomware Akira_v2 (be3f75) a través de HTTP/S #10003 – Envíe un correo electrónico a Akira_v2 (be3f75) ) ransomware como un archivo adjunto comprimido #10004 – Envíe por correo electrónico el ransomware Akira_v2 (be3f75) como un archivo adjunto comprimido Veeam-Get-Creds #10005 – Escriba la herramienta de hackeo Veeam-Get-Creds (afdb88) en el disco #10006 – Transferencia de Veeam-Get-Creds ( afdb88) hacktool a través de HTTP/S #10007 – Transferencia de Veeam-Get-Creds (afdb88) hacktool a través de HTTP/S #10008 – Envíe un correo electrónico a Veeam-Get-Creds (afdb88) como un archivo adjunto comprimido #10009 – Envíe un correo electrónico a Veeam-Get- Herramienta de hackeo Creds (afdb88) como un archivo adjunto comprimido Ataques de comportamiento existentes relacionados con AA24-109A #794 – Extraer información de inicio de sesión usando MimiKatz (nivel de host) #811 – Descubra la configuración de red Linux usando Bash (nivel de host) #1011 – Descubra información del sistema Linux usando Comandos Bash (nivel de host) #1220 – Inyectar Mimikatz usando PowerShell para extraer credenciales (movimiento lateral) #1220 – Inyectar Mimikatz usando PowerShell para extraer credenciales (movimiento lateral) #1693 – Recopilar datos del sistema Windows usando CMD (nivel de host) #1693 – Recopile datos del sistema Windows usando CMD (nivel de host) #1695 – Descubra procesos de Linux usando scripts Bash (nivel de host) #2170 – Crear cuenta (Windows) (nivel de host) #2174 – Extraiga usuarios y grupos usando net.exe (Windows) ( nivel de host) #2175 – Descubra configuraciones de usuario de Linux usando Bash (Linux) (nivel de host) #2188 – Extraiga la lista de procesos usando comandos de Windows (nivel de host) #2222 – Descubra sistemas remotos usando PowerShell (nivel de host) #2273 – Pase el hash sobre SMB usando Mimikatz (movimiento lateral) #2273 – Pasar el Hash sobre SMB usando Mimikatz (movimiento lateral) #2306 – Domain Trust Discovery (nivel de host) #3819 – Colección de credenciales de Windows usando LaZagne (nivel de host) #3827 – Colección de credenciales de Linux usando LaZagne (nivel de host) #3829 – Ejecute Mimikatz ofuscado en el host (nivel de host) #3829 – Ejecute Mimikatz ofuscado en el host (nivel de host) #3829 – Ejecute Mimikatz ofuscado en el host (nivel de host) #5672 – Movimiento lateral sin agente a través de WMI (nivel de host) #5673 – Movimiento lateral sin agente a través de PowerShell remoto (WMI) (nivel de host) #5833 – Extraer información de inicio de sesión usando MimiKatz DCSync (nivel de host) #6127 – Extraer el volcado de memoria LSASS usando Rundll32 (nivel de host) #6372 – Modificar Volumen Shadow Copy (VSS) (nivel de host) #6473 – Movimiento lateral sin agente a través de RDP (nivel de host) #6513 – Movimiento lateral sin agente a través de SMB y RCE, usando Mimikatz (nivel de host) #6580 – Descubrir grupos de dominio usando el método LDAP (nivel de host) nivel) #6581 – Descubrir computadoras de dominio usando el método LDAP (nivel de host) #6801 – Recolección de credenciales usando Mimikatz DCSync con token de sesión interactivo (nivel de host) #6802 – Recolección de credenciales usando Mimikatz DCSync con credenciales de usuario (nivel de host) #7168 – Habilitar una cuenta predeterminada y agregarla a un grupo local (Windows) (nivel de host) #8370 – Extracción de credenciales en memoria a través de MiniDumpWriteDump (nivel de host) #8371 – Extracción de credenciales en memoria a través de MiniDumpWriteDump y manejo del secuestro (nivel de host) #8372 – Extracción de credenciales a través de Pypykatz (nivel de host) Qué debe hacer ahora Los clientes de SafeBreach ahora pueden validar sus controles de seguridad contra estos TTP de múltiples maneras. Método 1: puede ir a la página «Escenarios de SafeBreach» y elegir AA24-109A (Akira Ransomware). Método 2: en Attack Playbook, seleccione y filtre los ataques relacionados con la alerta US-CERT AA24-109A (Akira Ransomware). Además, puede consultar la lista anterior para garantizar un nivel integral de cobertura. Método 3: en el informe Serie de ataques conocidos, seleccione el informe Alerta AA24-109A (Akira Ransomware) de US-CERT y seleccione Ejecutar simulaciones, que ejecutará todos los métodos de ataque. NOTA: FBI, CISA, EC3 y NCSC-NL recomiendan validar continuamente su programa de seguridad, a escala, en un entorno de producción para garantizar un rendimiento óptimo frente a la creciente amenaza de amenazas cibernéticas avanzadas. A continuación se pueden ver recomendaciones adicionales: Implementar un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o propietarios en una ubicación físicamente separada, segmentada y segura. Requerir que todas las cuentas inicien sesión con contraseña. Requerir autenticación multifactor para todos los servicios. Mantenga todos los sistemas operativos, software y firmware actualizados. Identifique, detecte e investigue actividades anormales y posibles ataques del ransomware indicado con una herramienta de monitoreo de redes. Para recomendaciones adicionales, revise el aviso en detalle.