Le gang de ransomware Akira a volé 42 millions de dollars grâce à plus de 250 victimes
-
Tout roule pour les membres du gang de ransomware Akira puisqu’ils seraient parvenus à voler la jolie somme de 42 millions de dollars grâce à la compromission de l’infrastructure de plus de 250 organisations. Il s’agit de chiffres publiés par plusieurs agences, dont le FBI.
Le FBI, la CISA, le Centre européen de lutte contre la cybercriminalité (European Cybercrime Centre) et le National Cyber Security Centre (NCSC) du Pays-Bas ont travaillé sur l’écriture d’un rapport complet au sujet de la menace Akira. Ce bulletin d’alerte disponible sur le site de la CISA montre la progression fulgurante de ce gang de ransomware apparu pour la première fois en mars 2023.
Le gang de ransomware a fait des victimes partout dans le monde, même si la majorité des organisations ciblées sont situées en Amérique du Nord, en Europe et en Australie. Au début, Akira s’en prenait principalement aux systèmes Windows, mais assez rapidement, les cybercriminels ont mis au point une variante pour Linux afin de chiffrer les machines virtuelles sur les serveurs VMware ESXi.
Ainsi, au 1er janvier 2024, le groupe de ransomwares avait touché plus de 250 organisations et volé environ 42 millions de dollars grâce aux victimes qui ont pris la décision de payer la rançon demandée.
Le mode opératoire du gang de ransomware Akira
Le rapport publié sur le site de la CISA fournit des informations intéressantes sur les techniques et méthodes employées par les cybercriminels d’Akira.
L’accès initial est notamment évoqué, et d’après le FBI, ils ciblent principalement les accès VPN, les accès RDP, le spear phishing et l’utilisation de comptes utilisateurs valides qu’ils ont en leur possession. Deux failles de sécurité, liées aux équipements Cisco, sont citées : CVE-2020-3259 et CVE-2023-20269.
Pour les différentes phases de l’attaque, notamment pour la persistance, la découverte et l’exfiltration des données, le gang de ransomware Akira utilisent différents outils dont certains que vous connaissez et utilisez probablement : Mimikatz, LaZagne, SoftPerfect et Advanced IP Scanner. À cela s’ajoutent des outils accessibles facilement et peut-être même déjà présents sur certaines machines : AnyDesk, MobaXterm, RustDesk, Ngrok, RClone, les protocoles FTP et SFTP ou encore le service de stockage de fichiers Mega.
Les conseils pour se protéger du ransomware Akira
Ce rapport contient également un ensemble de conseils et recommandations pour se protéger de cette menace.
Voici la liste de ces recommandations :
- Mise en œuvre d’un plan de reprise d’activité.
- Effectuer des sauvegardes déconnectées (hors ligne) des données.
- Effectuer des sauvegardes chiffrées et immuables.
- Exiger que tous les comptes soient protégés par des mots de passe conformes aux normes du NIST, et qui doivent être suffisamment long. "Envisagez de ne pas exiger de changements de mot de passe récurrents, car cela peut affaiblir la sécurité", peut-on lire.
- Exiger une authentification multifactorielle pour tous les services dans la mesure du possible.
- Maintenir tous les systèmes d’exploitation, les logiciels et les firmwares à jour.
- Segmenter les réseaux pour empêcher la propagation des ransomwares.
- Identifier, détecter et étudier les activités anormales et les mouvements potentiels du ransomware à l’aide d’un outil de surveillance du réseau.
- Filtrer le trafic réseau en empêchant des sources inconnues ou non fiables d’accéder à des services distants sur des systèmes internes.
- Installer, mettre à jour régulièrement et activer la détection en temps réel des logiciels antivirus sur tous les hôtes.
- Examiner les contrôleurs de domaine, les serveurs, les postes de travail et les annuaires actifs pour détecter les nouveaux comptes et/ou les comptes non reconnus.
- Auditer les comptes d’utilisateurs disposant de privilèges élevés et configurer les contrôles d’accès selon le principe du moindre privilège.
- Désactiver les ports inutilisés.
- Ajouter un avertissement aux e-mails dont l’expéditeur est externe à votre organisation.
- Désactiver les hyperliens dans les e-mails reçus.
- Mettre en place une politique Time-based Access (Zero Trust) basée sur la durée pour les comptes avec des privilèges élevés.
- Désactiver les activités et les autorisations relatives à la ligne de commande et aux scripts.
– Sources :
-
Ça rapporte pas mal, métier d’avenir
-
@Ashura dans un monde parfait, ça rapporterait 10 ans de bagne.