Akira 勒索病毒的最新威胁行为
关键要点
- 从十月开始,Sophos 发现 Akira 恶意行为者开始进行纯数据勒索操作,从受害者环境中提取数据,而无需部署勒索病毒或加密系统。
- 在 Sophos 处理的所有 Akira 事件中,仅在2023年八月发现了一起利用 Megazord 勒索病毒变种的案例。
- 在一次事件中,Sophos 观察到 Akira 行为者利用一种先前未报告的后门程序(exe)建立指挥与控制(C2),这与他们通常使用双重用途代理的偏好相悖。
- 针对具有 Sophos 终端保护的组织,Sophos 多次观察到 Akira 行为者试图卸载和/或禁用 Sophos 保护措施以逃避检测。
攻击链
初始访问
Akira 勒索病毒行为者常用的初始访问方式是通过缺乏多因素认证(MFA)的账户未经授权登录 VPN。Sophos 观察到,Akira 行为者特别针对未启用
MFA 的 Cisco VPN 产品,例如 Cisco ASA SSL VPN 或 Cisco AnyConnect。
此外,Akira 行为者还会利用 VPN 软件本身的已知漏洞。在某些案例中,威胁行为者可能利用
在组织的 CiscoASA 中建立未经授权的远程访问 VPN 会话。
凭据访问
在获得目标环境的访问权限后,Akira 行为者使用各种方法获取实现目标所需的凭据。Sophos 经常观察到,行为者试图对 LSASS 进程内存执行
minidump 来获取存储在内存中的其他凭据。
以下命令示例展示了这一行为:
cmd cmd /c rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 572C:\ProgramData\lsass.dmp full
该活动被 Sophos 标识为检测 ‘WIN-CRD-PRC-RUNDLL-COMSVCS-LSASS-1’。
行为者还经常尝试获取存储在 Active Directory 数据库中的凭据,目的是完全控制域凭据。在一些情况下,他们观察到行为者从组织的域控制器中复制
SYSTEM 注册表树和 NTDS.dit 文件,以获取完整的用户账户及其域密码哈希列表。在其他事件中,Akira 行为者利用 ntdsutil 工具对
Active Directory 数据库进行离线镜像捕获。
我们注意到用于转储 NTDS.dit 文件和 SYSTEM 注册表树的两个命令: cmd "cmd.exe" /cC:\ProgramData\Cl.exe -c -i C:\Windows\NTDS\ntds.dit -o C:\programdata\nt.txt
cmd "cmd.exe" /c C:\ProgramData\Cl.exe -c -ic:\Windows\System32\config\SYSTEM -o C:\programdata\sys
有一些案例中,Akira 行为者专注于 Veeam 凭据,并经常利用 Veeam 凭据转储脚本将存储在 Veeam 备份服务中的凭据转储为纯文本。
最近在几个 Akira 案例中,威胁行为者使用了开源的
通过交互式 PowerShell ISE 会话获取域凭据,并转向其他主机。
此外,在至少一个案例中,法医证据表明,威胁行为者可能利用
在组织的 Veeam备份 & 复制组件中获取到存储在配置数据库中的所有加密凭据。
Sophos 还观察到 Akira 行为者试图获取多用户的 Chrome浏览器缓存凭据。在特定情况下,威胁行为者使用供应商账户访问了位于组织域控制器上的密码列表文档,在使用 esentutl.exe 创建 GoogleChrome 用户数据目录下“登录数据”的临时副本之前,它们还访问了备份代码文件。
