免责声明:我方在此声明,对于本公告中提及的勒索软件即服务组织宣称的攻击事件及相关信息,我方并未进行独立的分析和鉴别。所有信息均基于公开来源和第三方报告,仅供参考。
2025年03月12日,我们的网空威胁线索监测系统(www.libaisec.com)监测到,Akira 勒索软件组织声称已经获得了涉我山东某500强建筑行业集团公司90GB的数据,其中包括驾驶执照、员工的医疗表格、财务数据(如审计、付款细节和报告)、租赁协议、员工和客户的联系电话和电子邮件地址,以及员工的指纹护照。
Akira 是一种多产的勒索软件,自2023年3月以来一直在运行,针对多个行业,主要在北美、英国和澳大利亚。它充当勒索软件即服务(RaaS),并在加密之前泄露数据,实现双重勒索。根据该组织的泄漏站点,他们已经感染了超过 196 个组织。截至2024年1月1日,该勒索软件组织已影响了250多个组织,并索取了大约4200万美元的勒索软件收益。
回顾Akira的历史,必须回到Conti集团。他们在2022年3月遭受了大规模泄漏,泄露了他们的源代码、聊天记录、剧本和存储服务器。该集团随后于2022年5月停止运营。这导致其许多成员和附属公司后来以 Black Basta、BlackByte和Krakurt等不同品牌重新出现。Akira 是另一种此类勒索软件,它不仅与Conti代码重叠,而且还有运营商将资金与 Conti 附属钱包地址混合。这表明Conti和Akira之间存在明显的重叠。与RaaS关联的参与者使用的 TTP 相似,Akira也不例外。
Akira勒索软件变体的早期版本是用C++编写的,并以.akira扩展名加密文件;然而,从2023年8月开始,一些Akira攻击开始部署 Megazord,使用基于Rust的代码加密扩展名为.powerranges的文件。Akira 威胁行为者继续使用Megazord和Akira,包括Akira_v2(由受信任的第三方调查确定)互换使用。
相关IOC和研究报告:
hxxps://www.cisa.gov/sites/default/files/2024-04/AA24-109A-StopRansomware-Akira-Ransomware.stix_0.json
hxxps://www.cisa.gov/sites/default/files/2024-04/aa24-109a-stopransomware-akira-ransomware_2.pdf
暂无评论内容