Akira, un groupe de ransomware vieux d'un an, a piraté plus de 250 organisations et extrait environ 42 millions de dollars de produits de ransomware, ont alerté les principales agences mondiales de cybersécurité.
Les enquêtes menées par le Federal Bureau of Investigation (FBI) des États-Unis ont révélé que le ransomware Akira ciblait des entreprises et des entités d'infrastructures critiques en Amérique du Nord, en Europe et en Australie depuis mars 2023. Alors que le ransomware ciblait initialement les systèmes Windows, le FBI a récemment découvert le système Linux d'Akira. variante également.
Le FBI, en collaboration avec l'Agence de cybersécurité et de sécurité des infrastructures (CISA), le Centre européen de cybercriminalité (EC3) d'Europol et le Centre national de cybersécurité des Pays-Bas (NCSC-NL), a publié un avis conjoint sur la cybersécurité (CSA) pour « diffuser » la menace. aux masses.
Selon l'avis, Akira obtient un accès initial via des réseaux privés virtuels (VPN) préinstallés dépourvus d'authentification multifacteur (MFA). Le ransomware procède ensuite à l’extraction des informations d’identification et d’autres informations sensibles avant de verrouiller le système et d’afficher une demande de rançon.
« Les acteurs de la menace Akira ne laissent pas de demande de rançon initiale ni d'instructions de paiement sur les réseaux compromis, et ne transmettent pas ces informations jusqu'à ce qu'ils soient contactés par la victime. »
Le groupe de ransomwares exige des paiements en Bitcoin (BTC) de la part des organisations victimes pour rétablir l'accès. Ces logiciels malveillants désactivent souvent les logiciels de sécurité après un premier accès pour éviter d'être détectés.
Bonnes pratiques de cybersécurité contre les attaques de ransomwares. Source : cisa.gov
Certaines des techniques d'atténuation des menaces recommandées dans l'avis incluent la mise en œuvre d'un plan de récupération et d'une authentification multifacteur, le filtrage du trafic réseau, la désactivation des ports et des hyperliens inutilisés et le chiffrement à l'échelle du système.
« Le FBI, la CISA, l'EC3 et le NCSC-NL recommandent de tester continuellement votre programme de sécurité, à grande échelle, dans un environnement de production pour garantir des performances optimales par rapport aux techniques MITRE ATT&CK identifiées dans cet avis », ont conclu les agences.
En relation: Un malware mystérieux cible les tricheurs de Call of Duty et leur vole leur Bitcoin
Le FBI, la CISA, le NCSC et la National Security Agency (NSA) ont précédemment émis des alertes concernant les logiciels malveillants utilisés pour cibler les portefeuilles et les échanges cryptographiques.
Répertoires dans lesquels les informations ont été extraites par le malware. Source : Centre national de cybersécurité
Le rapport note que certaines des données extraites par le logiciel malveillant comprenaient des données contenues dans les répertoires des applications d'échange Binance et Coinbase et de l'application Trust Wallet. Selon le rapport, tous les fichiers des répertoires répertoriés sont exfiltrés, quel que soit leur type.
Magazine : Obtenez Bitcoin ou mourez en essayant : pourquoi les stars du hip hop adorent la crypto