Вымогатели Akira, укравшие 42 млн долларов, нацелены на серверы Linux

Вымогатели Akira, укравшие 42 млн долларов, нацелены на серверы Linux

Вымогатели Akira, укравшие 42 млн долларов, нацелены на серверы Linux

По состоянию на 1 января 2024 года группа вымогателей Akira взломала сети более 250 жертв и украла около 42 миллионов долларов в виде незаконных доходов. Теперь злоумышленники переключились на Linux-серверы.

В совместном сообщении агентств кибербезопасности из Нидерландов и США, а также Европейского центра по борьбе с киберпреступностью говорится, что с марта 2023 года жертвой программы Akira стал широкий круг предприятий и объектов критической инфраструктуры в Северной Америке, Европе и Австралии.

С апреля 2023 года киберпреступники Akira, нацеленные прежде на системы Windows, сместили свой фокус на виртуальные машины Linux VMware ESXi.

Сначала группа вымогателей использовала вариант вредоноса на C++, а с августа 2023 года перешла на Rust. Стоит отметить, что эта группа отличается от операторов Akira, которые были активны в 2017 году.

Чтобы добраться до целевых сетей, преступники использовали уязвимости в устройствах Cisco (например, CVE-2020-3259 и CVE-2023-20269).

Альтернативные векторы включают протокол удаленных рабочих столов (RDP), целевой фишинг, действительные учетные данные и службы виртуальных частных сетей (VPN), в которых отсутствуют средства многофакторной аутентификации.

Агенты Akira создают новую учетную запись домена на взломанной системе, закрепляясь таким образом в системе. Злоумышленники уходят от обнаружения, используя драйвер Zemana AntiMalware для завершения процессов, связанных с антивирусным софтом, с помощью так называемой атаки BYOVD (Bring Your Own Vulnerable Driver), которая задействует драйверы с уязвимостями.

Для повышения привилегий хакеры используют такие инструменты для подбора учетных данных, как Mimikatz и LaZagne, а для перемещения по сети жертвы — Windows RDP. Для кражи данных используются FileZilla, WinRAR, WinSCP и RClone.

В октябре 2023 года Trend Micro опубликовала анализ Akira, где рассказала, что программа шифрует системы жертв с помощью гибридного алгоритма шифрования.

Двоичный файл Akira имеет функцию, которая позволяет ему препятствовать восстановлению системы путем удаления теневых копий из пораженной системы. В некоторых случаях финансово мотивированная банда поставляла два разных варианта вымогательских программ для разных системных архитектур — шифровальщиков Windows и ESXi (Akira_v2) — в рамках одного события компрометации.

 

Новая версия Akira, направленная на корпоративные среды Linux, также следует за аналогичными действиями других известных групп вымогателей, таких как LockBit, Cl0p, Royal, Monti и RTM Locker.

Agenda возвращается с обновленной версией Rust

Группа разработчиков Agenda (он же Qilin и Water Galura) использовала обновленный вариант Rust для заражения серверов VMWare vCenter и ESXi с помощью инструментов удаленного мониторинга и управления (RMM) и Cobalt Strike.

Специалисты заявили, что операторы вредоноса Agenda развиваются, охватывая новые цели и системы, тем самым распространяя свое воздействие и на инфраструктуру виртуальных машин.

 

Программы-вымогатели всё так же представляют собой значительную угрозу. На данный момент началась тенденция среди хакеров использовать дешёвые вымогательские версии, продаваемые в киберпреступном подполье.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ВТБ: лишь 10% россиян недовольны периодом охлаждения при кредитах

Как показало исследование ВТБ, россияне положительно восприняли сервис «второй руки» и готовы использовать его для дополнительной защиты своих близких от мошенников. Кроме того, опрос показал, что «периодом охлаждения» при кредитовании недовольны лишь 10% респондентов.

Данные опроса привело РИА Новости со ссылкой на ВТБ. Исследование приурочено к форуму Finopolis 2025 и охватило более 1500 человек из городов России с населением свыше 100 тысяч жителей.

«Период охлаждения» при оформлении кредитов действует в России с 1 сентября. Это время между подписанием договора и фактическим получением средств: 4 часа для сумм от 50 до 200 тысяч рублей и 48 часов для кредитов свыше 200 тысяч. В течение этого срока заемщик может отказаться от получения денег.

Ввести такой механизм в Банке России предложили ещё в начале 2023 года. В декабре 2024 года инициативу поддержал президент Владимир Путин во время «прямой линии». К тому моменту документ уже находился на согласовании в правительстве и Банке России, а в марте 2025 года был утверждён как часть пакета поправок, направленных на борьбу с дистанционным мошенничеством.

По данным ВТБ, лишь 10% опрошенных считают, что «период охлаждения» усложнил или замедлил процесс получения кредита. Более половины (57%) оценили меру положительно, отметив её важность для защиты от мошенников, которые нередко вынуждают граждан оформлять кредиты под давлением. Остальные участники опроса относятся к нововведению нейтрально.

Сервис «второй руки» (подтверждение операций, превышающих установленный порог) получил ещё больше одобрения. Более трети респондентов готовы использовать его для контроля финансовых операций пожилых родственников, четверть — для детей и подростков, около 20% — для других близких.

Также россияне выразили интерес к расширению возможностей сервиса. Так, 53% хотели бы получать подтверждения сделок с недвижимостью, а 45% — операций с транспортными средствами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru