Исследователи кибербезопасности выявили значительное увеличение оперативного темпа деятельности группы вымогателя Akira. Злоумышленники теперь проводят более быстрые и автоматизированные атаки, существенно сокращая время от первоначального проникновения в сеть до полного шифрования и вымогательства. Это ускорение в первую очередь обусловлено эксплуатацией известных уязвимостей в непропатченных VPN-устройствах и повторным использованием учетных данных, обнаруженных в средах жертв. Используя эти распространенные слабости безопасности, группа с тревожной эффективностью обходит традиционную периметровую защиту, часто получая первоначальный доступ в течение нескольких минут после идентификации уязвимой цели.
Попав в сеть, злоумышленники применяют модель двойного вымогательства, которая стала отличительной чертой современных операций с ransomware. Они систематически извлекают конфиденциальные данные перед развертыванием полезной нагрузки, шифрующей файлы. Эти похищенные данные используются в качестве дополнительного рычага давления — угрожая их публикацией или продажей на форумах даркнета, если выкуп не будет уплачен. Действия группы после проникновения характеризуются быстрым перемещением по сети, часто с использованием легитимных административных инструментов и скомпрометированных учетных данных для отключения защитного ПО, повышения привилегий и развертывания вымогателя на системах Windows и Linux. Скорость этого внутреннего распространения оставляет защитникам критически узкое окно для обнаружения и реагирования.
Технический анализ последних кампаний показывает зависимость группы от таких инструментов, как AnyDesk, для постоянного удаленного доступа, а также использование скриптов PowerShell для сбора учетных данных и перемещения по сети. Особую тревогу вызывает тактика группы, направленная на организации, в которых могут быть устаревшие системы или неполный учет активов, где распространены старое программное обеспечение и забытые административные учетные записи. Это подчеркивает критический пробел в защите: многие организации сосредотачиваются на предотвращении первоначального нарушения, но менее подготовлены к быстрой автоматизированной эксплуатации, которая следует после установления плацдарма.
Для снижения рисков, создаваемых этой ускоренной угрозой, организациям необходимо применять многоуровневую стратегию защиты. Неотложные приоритеты включают применение всех исправлений безопасности для VPN и других периметровых устройств, внедрение строгой многофакторной аутентификации (MFA), особенно на всех точках внешнего доступа и привилегированных учетных записях, а также сегментацию сетей для ограничения перемещения. Кроме того, командам безопасности следует исходить из предположения о компрометации и усилить мониторинг аномального использования инструментов удаленного доступа и PowerShell, особенно в нерабочее время. Проактивная "гигиена" учетных данных, включая регулярный аудит и устранение учетных записей по умолчанию или общих паролей, необходима для нарушения цепочки атаки, от которой зависят Akira и подобные группы для своей скорости и успеха.
