Ransomware, neboli vyděračský software, představuje jeden z nejvíce destruktivních typů malwaru, který v dnešní době ohrožuje jak jednotlivce, tak organizace různých velikostí a odvětví. Jeho hlavní funkcí je šifrování dat na napadeném zařízení, čímž útočník znemožní oběti přístup k vlastním souborům a systémovým funkcím. Následně požaduje výkupné, obvykle ve formě kryptoměny, za slib dešifrování dat a obnovení přístupu.

Mezi různé typy ransomwaru patří i relativně nový hráč na scéně, známý jako „Akira Ransomware“. Tento specifický typ ransomwaru se objevil na kybernetickém bojišti s cílem využít nové a sofistikované metody pro infikování systémů, šifrování dat a vyvíjení tlaku na oběti, aby zaplatily požadované výkupné. „Akira Ransomware“ se nejenže vyznačuje vysokou úrovní sofistikovanosti ve svém šifrovacím mechanismu, ale také v metodách šíření a schopnosti vyhýbat se detekci.

Jeho název může být odvozen od populární japonské mangy nebo anime, což je běžná praxe mezi vývojáři malwaru, kteří často volí ikonické názvy pro své výtvory, aby zaujali nebo způsobili zmatek. Tímto způsobem se „Akira Ransomware“ stal nejen hrozbou pro kybernetickou bezpečnost, ale i předmětem zájmu a analýz v bezpečnostních kruzích.

Zákeřnost „Akira Ransomware“ spočívá v jeho schopnosti rychle šifrovat obrovské objemy dat a používat komplexní techniky k maskování své přítomnosti před antivirovými programy a bezpečnostními nástroji. Tento ransomware často využívá sociální inženýrství, phishingové kampaně, exploit kity a další vektorové útoky k proniknutí do systémů. Po úspěšném infiltrování systému „Akira Ransomware“ šifruje soubory pomocí silných šifrovacích algoritmů, čímž zamezí uživatelům v přístupu k jejich datům a aplikacím.

Jedním z klíčových aspektů, které „Akira Ransomware“ odlišují od jiných typů ransomwaru, je jeho způsob komunikace s obětmi. Útočníci často zanechávají výkupné poznámky s instrukcemi, jak zaplatit výkupné a získat dešifrovací klíč. Tyto poznámky jsou navrženy tak, aby vytvořily pocit naléhavosti a donutily oběti rychle jednat, často s využitím psychologických taktik, jako je hrozba trvalé ztráty dat nebo jejich zveřejnění.

V následujících sekcích se podrobněji zaměříme na historii a vývoj „Akira Ransomware“, technickou analýzu jeho fungování, metody šíření a infekce, prevenci a ochranná opatření, reakci na incident a studie případů, které nám poskytnou hlubší vhled do tohoto zákeřného malwaru a jeho dopadu na kybernetickou bezpečnost.

Historie a vývoj

„Akira Ransomware“ je pojmenován po ikonickém japonském anime, což naznačuje, že jeho tvůrci možná čerpají inspiraci z populární kultury. Přestože přesný původ a tvůrce „Akira Ransomware“ zůstávají nejasní, jeho první zaznamenané útoky lze datovat do posledních let, což svědčí o jeho relativně novém vstupu do arzenálu kybernetických hrozeb.

Vývojové Fáze:

1. Rané stopy a identifikace:
   • První varianty „Akira Ransomware“ byly identifikovány bezpečnostními experty, když začaly cílit na malé a střední podniky. Charakteristické bylo použití sofistikovaných šifrovacích algoritmů a obcházení tradičních bezpečnostních opatření.
2. Evoluce šifrovacích metod:
   • Postupem času „Akira Ransomware“ vyvinul pokročilejší šifrovací techniky, včetně asymetrického šifrování, které značně ztížilo dešifrování bez soukromého klíče drženého útočníkem. To ukazuje na hlubší pochopení kryptografie ze strany tvůrců.
3. Změny v komunikaci s oběťmi:
   • Vývojáři „Akira Ransomware“ implementovali sofistikovanější metody komunikace s oběťmi, včetně anonymních platebních portálů a pokynů pro platbu výkupného v kryptoměnách, což značně komplikovalo snahy o sledování finančních transakcí a identifikaci útočníků.
4. Rozšíření cílových oblastí:
   • S rostoucí sofistikovaností „Akira Ransomware“ se rozšířil jeho dosah na větší organizace a kritickou infrastrukturu, což naznačuje záměr způsobit maximální škody a zvýšit pravděpodobnost vyplacení vyššího výkupného.
5. Adaptace na bezpečnostní opatření:
   • „Akira Ransomware“ neustále evoluuje, aby se vyhnul detekci moderními antivirovými programy a bezpečnostními technologiemi. To zahrnuje využití technik obfuskace kódu, využití zranitelností nultého dne a eskalace privilegií k získání hlubšího přístupu do infikovaných systémů.

Chronologie útoky

Březen 2023

Akira Ransomware byl poprvé zaznamenán, když začal provádět útoky. Toto období je považováno za počátek jeho operací, kdy se zaměřoval především na malé a středně velké podniky. Byl pozorován jeho způsob laterálního pohybu prostřednictvím Remote Desktop Protocol (RDP) s platnými účty místního správce a v některých případech využití modulu Impacket wmiexec pro laterální pohyb.

• https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/

Po prvním zaznamenaném objevení „Akira Ransomware“ v březnu 2023 se tento ransomware rychle rozrostl a postihl více než 60 organizací po celém světě. Jako Ransomware-as-a-Service (RaaS) a s využitím dvojitého vydírání se Akira stal rychle rostoucí hrozbou, zejména pro malé a střední podniky, které často neměly povolenou vícefaktorovou autentizaci (MFA) na svých VPN. Akira využívá kompromitované přihlašovací údaje pro získání přístupu a následně používá různé nástroje pro průzkum systému, exfiltraci dat a pohyb po síti. Mezi používané nástroje patří například AnyDesk, Cloudflare Tunnel a WinSCP.

• https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-akira

Květen 2023

Bylo hlášeno, že Akira Ransomware postupně buduje seznam obětí, jak proniká do podnikových sítí po celém světě, šifruje soubory a požaduje výkupné v řádech milionů dolarů. Útoky Akiry byly zaznamenány na šestnácti společnostech z různých odvětví, včetně vzdělávání, financí, nemovitostí, výroby a poradenství​.

• https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/

Červen 2023

Akira Ransomware začal používat Linuxový šifrovač k šifrování virtuálních strojů VMware ESXi v rámci útoků dvojité vydírání proti společnostem po celém světě.

• https://news.sophos.com/en-us/2023/12/21/akira-again-the-ransomware-that-keeps-on-taking/

V červnu 2023, pouhé tři měsíce po svém objevení, Akira rozšířil svůj seznam cílů i na Linuxové systémy, konkrétně cílením na virtuální stroje VMware ESXi. V srpnu téhož roku byla odhalena zranitelnost v produktech Cisco, CVE-2023-20269, kterou Akira využíval k útokům. Tato zranitelnost umožňovala neoprávněným útočníkům provádět hrubou sílu proti stávajícím účtům a získat tak přístup bez potřeby MFA.

• https://www.securityweek.com/dozens-of-organizations-targeted-by-akira-ransomware/

Říjen 2023

Kromě toho bylo v říjnu 2023 zveřejněno, jak Akira infikoval systémy jedné energetické společnosti v USA. Útočníci získali přístup pomocí ukradených VPN přihlašovacích údajů třetí strany a následně prováděli průzkum sítě a kradli data před spuštěním ransomware, což nakonec vedlo k šifrování souborů ve společnosti.

• https://www.picussecurity.com/resource/blog/cve-2023-20269-akira-ransomware-exploits-cisco-asa-vulnerability

Zdravotnický sektor byl rovněž upozorněn na útoky Akira Ransomware, zejména kvůli jeho schopnosti cílit na různá odvětví, včetně zdravotnictví. Akira, podobně jako mnoho jiných skupin RaaS, se zaměřuje na dvojité vydírání, přičemž citlivá data jsou ukradena před nasazením ransomware. Oběti musí zaplatit dva poplatky – jeden za dešifrování dat a druhý za zabránění zveřejnění ukradených dat.

Leden 2024

V lednu 2024 byly zaznamenány zvýšené útoky Akira Ransomware ve Finsku, kde útočníci využívali VPN bez vícefaktorové autentizace a zneužívali zranitelnost CVE-2023-20269 na zařízeních Cisco ASA nebo FTD. Tyto útoky postihly několik finských společností a vedly k šifrování souborů a VM disků, přičemž útočníci také hledali a mazali záložní kopie dat.

• https://www.computerweekly.com/news/366567932/Akira-ransomware-gang-claims-Lush-cyber-attack

Tietoevry, finský poskytovatel IT služeb a podnikového cloudového hostingu, zažil v lednu 2024 útok ransomwaru Akira, který narušil služby několika švédským vládním agenturám a obchodům. Útok omezil pouze jedno datacentrum ve Švédsku, ale měl významný dopad na služby poskytované některým zákazníkům Tietoevry ve Švédsku, včetně největšího švédského řetězce kin Filmstaden, který zaznamenal narušení svého online rezervačního systému.

• https://heimdalsecurity.com/blog/akira-ransomware-finnish-companies/

Únor 2024

Útok na britskou kosmetickou firmu Lush, kde skupina Akira tvrdí, že ukradla více než 100 GB dat, včetně osobních dokumentů, dat o pasu, účetních a finančních informací, probíhajících projektech a údajích o klientech. Lush potvrdil, že došlo k incidentu ransomwaru, ale podařilo se jim provoz obnovit s minimálním narušením díky účinným opatřením pro zmírnění.

• https://www.theregister.com/2024/02/06/akira_and_8base_new_ransomware_research/

Technická analýza Akira Ransomware

Akira Ransomware je sofistikovaný druh škodlivého softwaru určený k šifrování dat na napadených systémech s cílem vydírat oběti o výkupné za jejich obnovení. Tento ransomware kombinuje několik pokročilých technik a metod, které mu umožňují efektivně pronikat do systémů, zůstat nedetekovatelný a maximalizovat škody.

Infekční metody

Akira často využívá phishingové kampaně, kde jsou uživatelé lákáni k otevření infikovaných příloh nebo kliknutí na škodlivé odkazy. Další metody zahrnují využití exploitů a zranitelností v softwaru, zejména ve veřejně přístupných službách jako jsou VPN. Zneužití slabých nebo ukradených přihlašovacích údajů je rovněž běžné.

Šifrovací mechanismus

Po infikaci systému Akira identifikuje a šifruje cílové soubory použitím silných šifrovacích algoritmů. Typicky jsou k šifrování souborů použity symetrické šifrovací algoritmy jako AES nebo ChaCha, které jsou rychlé a efektivní. Pro každou oběť je generován unikátní šifrovací klíč, což značně komplikuje dešifrování bez zásahu útočníků.

Ochrana před detekcí

Akira implementuje různé techniky pro ztížení detekce, včetně obfuskace kódu a zneužití legitimních nástrojů a procesů k maskování škodlivé aktivity. Ransomware také může deaktivovat antivirové programy a zálohovací služby, aby zabránil odstranění nebo obnovení souborů.

Komunikace s útočníkem

Pro komunikaci mezi infikovaným systémem a útočníkem může Akira využívat různé metody, včetně předem definovaných command-and-control (C2) serverů. Tyto servery slouží k předávání instrukcí, získávání šifrovacích klíčů a případnému nahrávání ukradených dat.

Závěry

Akira Ransomware je vyspělý a nebezpečný ransomware, který vyžaduje pokročilé bezpečnostní opatření pro ochranu a detekci. Důležité je pravidelně aktualizovat všechny systémy, používat silnou vícefaktorovou autentizaci, pravidelně provádět zálohy a trénovat uživatele na nejlepší bezpečnostní postupy k minimalizaci rizika infekce. Pro detailnější informace a technickou analýzu konkrétních variant Akira ransomwaru se doporučuje konzultovat s bezpečnostními experty a průběžně sledovat aktualizace od bezpečnostních výzkumných týmů.

Prevence a ochrana proti ransomwaru Akira

Z technické analýzy Akira Ransomware vyplývají důležité aspekty, které by organizace měly zohlednit při vytváření strategie pro prevenci a odolnost proti takovým útokům. Zde jsou klíčové kroky k posílení kybernetické obrany:

1. Vzdělávání uživatelů: Pravidelná školení o bezpečnostních hrozbách a nejlepších praktikách, jako je nedůvěřivý přístup k neznámým e-mailům a přílohám, mohou výrazně snížit riziko úspěšného phishingového útoku.
2. Zabezpečení a aktualizace softwaru: Ujistěte se, že veškerý software a operační systémy jsou pravidelně aktualizovány, aby se zabránilo zneužití známých zranitelností.
3. Vícefaktorová autentizace (MFA): Aktivace MFA pro vzdálený přístup a důležité systémy může ztížit útočníkům zneužití ukradených přihlašovacích údajů.
4. Segmentace sítě a omezení přístupu: Rozdělení sítě na segmenty a aplikace principu nejmenších privilegií mohou omezit rozsah útoku a znesnadnit laterální pohyb útočníka.
5. Zálohování a obnova: Pravidelné zálohování kritických dat a jejich uchovávání mimo dosah útočníka (například offline) jsou klíčové pro rychlou obnovu po útoku bez nutnosti platit výkupné.
6. Detekce a reakce na incidenty: Implementace pokročilých nástrojů pro detekci hrozeb a incidentní reakční plány umožní rychlou identifikaci a izolaci útoku, čímž se minimalizuje jeho dopad.
7. Pravidelné bezpečnostní auditování a testování: Provádění penetračních testů a bezpečnostních auditů pomůže identifikovat a opravit slabiny před tím, než je zneužijí útočníci.
8. Zabezpečení koncových bodů: Použití pokročilých antivirových řešení a ochrana koncových bodů může pomoci zablokovat škodlivý software před jeho spuštěním na zařízeních.
9. Sledování síťového provozu: Monitorování a analýza síťového provozu může odhalit podezřelou aktivitu, jako jsou neobvyklé přenosy dat, které mohou ukazovat na probíhající útok.

Přijetím těchto opatření mohou organizace výrazně zvýšit svou odolnost proti útokům ransomwaru, jako je Akira, a minimalizovat riziko ztráty dat nebo narušení provozu. Je důležité pamatovat na to, že kybernetická bezpečnost je neustále se vyvíjející pole a organizace by měly být vždy ve střehu a připraveny na adaptaci na nové hrozby.

Analýza reakce na incident

V případě, že dojde k infekci ransomwarem Akira, je nezbytné mít připravený a dobře promyšlený plán reakce na incidenty. Efektivní reakce by měla zahrnovat následující kroky:

1. Izolace infikovaných systémů: Okamžitě odpojte infikovaná zařízení od sítě, aby se zabránilo šíření ransomwaru. Vypnutí zařízení může být také nutné, ale je důležité to udělat opatrně, protože některé ransomwary mohou detekovat vypnutí a aktivovat další škodlivé činnosti.
2. Identifikace zdroje infekce: Analýzou logů a síťového provozu určete, jak se ransomware dostal do systému, a identifikujte všechny zranitelnosti nebo bezpečnostní mezery, které byly zneužity.
3. Oznámení zúčastněným stranám: Informujte interní bezpečnostní tým, vedení společnosti a podle potřeby také zákazníky, partnery a regulační orgány. Transparentnost a rychlá komunikace mohou pomoci zmírnit dopady na reputaci.
4. Analýza šifrovaných dat: Zjistěte, která data byla šifrována, a zvažte význam těchto dat pro vaši organizaci. To pomůže určit priority při obnově.
5. Hledání dešifrovacího klíče: Prověřte dostupné zdroje, jako jsou weby zaměřené na kybernetickou bezpečnost nebo iniciativy typu No More Ransom, zda není k dispozici dešifrovací nástroj pro vaši konkrétní variantu Akira ransomwaru.
6. Obnova dat záloh: Pokud máte k dispozici nedotčené zálohy, začněte proces obnovy. Před obnovou se ujistěte, že ransomware byl z infikovaných systémů plně odstraněn a že systémy jsou bezpečné.
7. Posílení bezpečnostních opatření: Na základě zjištění z incidentu posilte bezpečnostní opatření, aby se podobnému útoku předešlo v budoucnu. To může zahrnovat zlepšení procesů patch managementu, zavedení nebo zpřísnění vícefaktorové autentizace, vylepšení školení zaměstnanců a další.
8. Zpracování po incidentu: Prověřte a dokumentujte, jak byl incident zvládnut, a identifikujte oblasti pro zlepšení. Tato analýza by měla být prezentována vedení a použita k posílení celkové bezpečnostní strategie.

Efektivní reakce na incident vyžaduje nejen technické dovednosti, ale také pečlivé plánování, koordinaci a komunikaci. Pravidelné cvičení a simulace incidentů mohou výrazně zlepšit připravenost vaší organizace na skutečné bezpečnostní hrozby.

Strategie obnovy po útoku

Po úspěšném zvládnutí incidentu ransomwaru je klíčové zaměřit se na obnovu a minimalizaci dopadu útoku na operace. Zde jsou klíčové kroky pro efektivní obnovu:

1. Analýza incidentu: Důkladně prozkoumejte, jak k útoku došlo, a identifikujte všechny slabiny, které útočník využil. Tato analýza by měla být provedena odborníky na kybernetickou bezpečnost s cílem zajistit, že se podobný incident nebude opakovat.
2. Komunikace s zainteresovanými stranami: Informujte zainteresované strany o rozsahu incidentu, podniknutých opatřeních a očekávaném čase obnovy. Transparentnost může pomoci zachovat důvěru klientů a partnerů.
3. Obnova dat záloh: Použijte nedávné zálohy k obnovení šifrovaných nebo poškozených dat. Zajistěte, že zálohy nebyly kompromitovány a jsou bez škodlivého softwaru před jejich obnovením.
4. Oprava a zabezpečení systémů: Opravte všechny zranitelnosti a posilte bezpečnostní opatření, aby se předešlo dalším útokům. Může to zahrnovat aktualizace softwaru, zesílení firewallových pravidel a zavedení dalších bezpečnostních vrstev.
5. Postupné obnovení služeb: Obnovujte služby postupně, začínaje kritickými systémy. Před znovuobnovením plného provozu důkladně otestujte systémy, aby bylo zajištěno, že nejsou přítomny žádné skryté hrozby.
6. Vzdělávání a školení: Zajistěte dodatečná školení pro zaměstnance s cílem zvýšit povědomí o bezpečnostních hrozbách a nejlepších praktikách pro jejich předcházení.
7. Revize incidentních reakčních plánů: Na základě zkušeností z incidentu přezkoumejte a aktualizujte své plány na reakci na incidenty a obnovu po havárii, abyste zlepšili svou připravenost na budoucí incidenty.
8. Právní a regulační soulad: Zajistěte, že byly splněny všechny právní a regulační požadavky týkající se incidentu, včetně povinností ohledně hlášení úniků dat.
9. Post-mortem analýza: Proveďte důkladnou analýzu po incidentu, abyste identifikovali klíčové lekce a zlepšili své bezpečnostní postupy a procesy.

Paměťte na to, že obnova po útoku ransomware vyžaduje pečlivé plánování a koordinaci. Spolupráce s odborníky na kybernetickou bezpečnost a dodržování osvědčených postupů může pomoci zajistit rychlou a účinnou reakci, minimalizovat dopady na vaše operace a obnovit normální podnikání co nejdříve.