Akira 勒索病毒攻击分析

主要要点

• 事件概述 ：2023年4月，Sophos 事件响应团队支援了北美的一个勒索病毒受害组织，之后又有另一组织求助，发现两起事件都使用了名为 Akira 的新型勒索病毒。
• 勒索病毒特征 ：Akira 勒索病毒将文件加密为“.akira”扩展名，并生成名为 fn.txt 的相似勒索函数。
• 攻击流程比较 ：本文将比较两起事件的攻击流程，突显两者之间的差异，帮助组织防范相似的攻击。

事件背景

2023年4月6日，Sophos 事件响应团队受邀协助一个在北美的勒索病毒受害者组织。随后的4月12日，另一家北美组织也联系了Sophos寻求支援。这两起事件似乎是不同的犯罪团体所为，但都使用了名为 Akira的新型勒索病毒。在这两起攻击中，遭到加密的文件都附有“.akira”扩展名，并有几乎相同的勒索函数档案 fn.txt 被放置在受感染系统中（如下图所示）。


这款 Akira 勒索病毒与2017年出现的同名病毒没有代码相似性，可能没有关联。该病毒的 jQuery基础泄露网站吸引了大部分注意，因其接受指令代替列出信息。


虽然该泄露网站的设计十分炫酷，但这对于勒索病毒的受害者来说毫无意义，其中包括了一家位于加拿大的日托服务机构。虽然受害组织的总数量与 Lockbit 或 BlackCat/APLHV 相比仍然相对较少，但所有新的勒索病毒家族都是这样开始的。

攻击流程详情

初始访问

事件 #1

用户帐号故意配置以允许多因素身份验证（MFA）旁路。

• 外部 IP 访问由威胁者通过欧洲 TOR VPN 退出节点路由。

事件 #2

使用单一因素身份验证的 VPN 访问。

指导建议

用 MFA 取代仅使用密码的身份验证是回报最高的安全控制措施之一，但应对任何有旁路例外的帐户进行审核。此外，建议企业封锁来自 TOR 网络的任何入站流量。

凭据访问

事件 #1

利用 comsvcs.dll 在 LSASS 进程内存中进行小型内存转储，使用 rundll32.exe 进行代理执行。

• LSASS 内存中凭据访问活动还在网络上进行。

事件 #2

虽然执行详情有限，但在勒索病毒执行前，多个系统创建了文件 C:\Windows\MEMORY.DMP ，这与 Windows 事件日志数据相关。

指导建议

在大多数勒索病毒事件中，内存转储获取凭据是一种普遍技术。在确保全面保障端点代理的同时，特别注意将域管理员帐户与工作站管理员帐户进行隔离，以降低凭据转储发生时的影响。

发现阶段

事件 #1

通过名为“Windows Update”的计划任务进行间接发现，执行远程目录列出。

事件 #2

利用双用途工具和现有的 IT 工具 LANSweeper 获取详细的网络和系统信息。

指导建议

了解执