Akira, группа разработчиков программ-вымогателей, созданная год назад, взломала более 250 организаций и получила около 42 миллионов долларов доходов от программ-вымогателей, предупредили ведущие мировые агентства по кибербезопасности.
Расследования, проведенные Федеральным бюро расследований США (ФБР), показали, что программа-вымогатель Akira с марта 2023 года нацелена на предприятия и объекты критической инфраструктуры в Северной Америке, Европе и Австралии. Первоначально программа-вымогатель была нацелена на системы Windows, а недавно ФБР обнаружило также Linux-вариант Akira.
ФБР вместе с Агентством по кибербезопасности и безопасности инфраструктуры (CISA), Европейским центром по киберпреступности (EC3) Европола и Национальным центром кибербезопасности Нидерландов (NCSC-NL) выпустили совместные рекомендации по кибербезопасности (CSA), чтобы «распространить» угрозу массы.
Согласно рекомендациям, Акира получает первоначальный доступ через предустановленные виртуальные частные сети (VPN), в которых отсутствует многофакторная аутентификация (MFA). Затем программа-вымогатель извлекает учетные данные и другую конфиденциальную информацию, а затем блокирует систему и отображает записку о выкупе.
«Субъекты угрозы Akira не оставляют первоначального требования выкупа или инструкций по оплате в скомпрометированных сетях и не передают эту информацию до тех пор, пока с ней не свяжется жертва».
Майнинг-оборудование можно разделить на несколько типов в зависимости от технологий и назначения. ASIC-майнеры — это устройства, предназначенные для добычи конкретных криптовалют, как Bitcoin, с высокой производительностью и низким энергопотреблением. Однако, они ограничены в универсальности и быстро устаревают.
GPU-фермы используют видеокарты для майнинга криптовалют с параллельной обработкой данных, таких как Ethereum. Это более универсальное оборудование, которое можно адаптировать под различные криптовалюты, но оно требует больших затрат на энергию и сложной настройки.
Группа вымогателей требует от организаций-жертв платежей в биткоинах (BTC) для восстановления доступа. Такое вредоносное ПО часто отключает программное обеспечение безопасности после первоначального доступа, чтобы избежать обнаружения.
Лучшие практики кибербезопасности против атак программ-вымогателей. Источник: cisa.gov
Некоторые из методов снижения угроз, рекомендуемых в рекомендациях, включают реализацию плана восстановления и MFA, фильтрацию сетевого трафика, отключение неиспользуемых портов и гиперссылок, а также общесистемное шифрование.
«ФБР, CISA, EC3 и NCSC-NL рекомендуют постоянно тестировать вашу программу безопасности в масштабе производственной среды, чтобы обеспечить оптимальную производительность по сравнению с методами MITRE ATT&CK, указанными в этой рекомендации», — заключили агентства.
ФБР, CISA, NCSC и Агентство национальной безопасности США (АНБ) ранее выпустили предупреждения о вредоносном ПО, которое использовалось для атак на криптокошельки и биржи.
Каталоги, из которых информация была извлечена вредоносным ПО. Источник: Национальный центр кибербезопасности.
В отчете отмечается, что некоторые данные, извлеченные вредоносным ПО, включали данные в каталогах обменных приложений Binance и Coinbase, а также приложения Trust Wallet. Согласно отчету, каждый файл в перечисленных каталогах был украден независимо от типа.
CPU-майнинг использует мощности процессоров для добычи криптовалют, устойчивых к ASIC, например, Monero. Такой способ подходит для новичков, но имеет низкую производительность и приводит к быстрому износу процессора.
HDD/SSD-майнинг использует жёсткие диски или твердотельные накопители для добычи криптовалют с алгоритмом Proof-of-Space (например, Chia). Это более энергоэффективное решение, но с ограниченным выбором криптовалют и быстрым износом накопителей.
