美国与欧洲政府机构于周四联合发布最新技术通告,帮助企业防御自2023年起持续攻击中小型企业的Akira勒索软件团伙。这份对2024年4月原始通告的更新文件,新增了该组织在攻击中利用的策略与漏洞清单。
据通告显示,截至9月下旬,Akira团伙据信已通过勒索攻击获利超2.44亿美元。”Akira勒索软件不仅窃取资金,更破坏支撑医院、学校及企业运转的核心系统,”FBI网络部门助理主任布雷特·莱瑟曼指出,”每个受入侵的网络背后,都是真实的人群和社区在遭受冷酷网络罪犯的伤害。”
除FBI外,美国国防部、卫生与公众服务部共同参与了通告修订,欧洲刑警组织及法国、德国与荷兰执法机构也介入此次更新。该团伙据称主要瞄准制造业、教育、信息技术及医疗保健领域。
攻击手法揭秘
多家机构披露:”Akira威胁行为体通过窃取登录凭证或利用CVE-2024-40766等漏洞,获取SonicWall等VPN产品的访问权限。在某些案例中,他们通过初始访问中介或暴力破解VPN终端,凭借被盗VPN凭证实现初始入侵。此外,攻击者还部署密码喷洒技术,使用SharpDomainSpray等工具窃取账户凭证。”
该组织同时滥用AnyDesk、LogMeIn等远程访问工具维持对受害者网络的控制,并混入管理员活动以隐藏行踪。在部分事件中,应急响应人员发现Akira会卸载终端检测与响应系统。FBI警告称,在某些案例中攻击者在获得初始访问权限后仅两小时即完成数据窃取。
与Conti团伙的潜在关联
通告明确指出Akira与已解散的Conti勒索团伙存在联系,Conti在俄罗斯入侵乌克兰前夕解散前曾发动多起高关注度攻击。网络安全与基础设施安全局网络安全部门执行助理主任尼克·安德森在记者会上确认,Akira”可能与已解散的Conti勒索团伙存在某些关联”,但拒绝透露其是否与俄罗斯政府存在联系。
莱瑟曼补充说明:”虽然Akira与俄罗斯政府无直接关联,但我们确知Conti勒索团伙曾一度在俄罗斯境内活动,且部分成员可能与该组织存在联系。如同任何采用联盟计划的勒索组织,其成员可能遍布全球各地。”
重大攻击事件追溯
研究人员早前指出Akira与Conti勒索软件存在深度相似性,区块链分析显示多笔Akira赎金交易流向了Conti领导团队关联钱包。该团伙近期声称对BK Technologies公司发起网络攻击——这家佛罗里达企业为美国国防承包商及数十个警局、消防部门生产无线电设备。该公司上月向投资者预警9月遭遇安全事件,黑客窃取了非公开信息及现任/前任员工数据。
Akira还宣称对斯坦福大学、多伦多动物园、南非国有银行、外汇经纪商伦敦资本集团等数十个知名机构实施攻击。通告同时为受勒索团伙影响的K-12学校提供了专项防护建议。安德森强调:”Akira等组织带来的勒索威胁真实存在,各机构需严肃对待并迅速实施防护措施。”
消息来源:therecord.media;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容