#ParsedReport #CompletenessMedium
03-05-2024

LOLBin to INC Ransomware

https://www.huntress.com/blog/lolbin-to-inc-ransomware

Report completeness: Medium

Threats:
Inc_ransomware
Lolbin_technique
Deathransom
Screenconnect_tool
Megasync_tool

TTPs:
Tactics: 1
Technics: 12

IOCs:
File: 10
Path: 1
Hash: 2

Soft:
Windows Defender, Sophos Anti-Virus, wordpad, Windows Service

Algorithms:
7zip, sha256

Links:
https://github.com
https://gist.github.com/ald3n5/b1a3f4138b1a1624f7e183a3d0859d17#file-susp\_adminflows\_tampering\_defender-yml
https://gist.github.com/ald3n5/b1a3f4138b1a1624f7e183a3d0859d17/raw/29e6f67fa3920a39cb4c4bc5226f21a6057fa5ad/susp\_adminflows\_tampering\_defender.yml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Краткое описание: Аналитики Huntress обнаружили атаку программы-вымогателя, нацеленную на конечные точки CylancePROTECT. Они провели упреждающий поиск моделей активности злоумышленников, выявили вредоносные действия до развертывания программы-вымогателя и заблаговременно уведомили клиентов, чтобы предотвратить дальнейший ущерб. Выявляя аналогичные атаки в других средах, Huntress способствовала эффективному реагированию. Рекомендации включают использование одобренных инструментов RMM, ограничение использования неутвержденных приложений и уделение особого внимания постоянному мониторингу и быстрому реагированию для защиты от киберугроз.
-----

Аналитики Huntress недавно обнаружили специфический вариант программы-вымогателя, который был развернут в среде клиента. Было замечено, что участники этой атаки проверяли эффективность своего развертывания с помощью специальной командной строки. Дальнейшее расследование выявило закономерность активности, связанную с злоумышленником, на промежуточных этапах атаки, перед внедрением программы-вымогателя. Эта закономерность позволила аналитикам провести упреждающий поиск по всей инфраструктуре, чтобы выявить другие затронутые конечные точки и уведомить клиентов, чтобы предотвратить дальнейший ущерб.

Злоумышленник атаковал конечные точки, на которых запущен CylancePROTECT, пытаясь отключить антивирусное программное обеспечение, скомпрометировав службу. Аналитики обнаружили постоянную вредоносную активность на затронутых конечных точках, что позволило своевременно обнаружить программу-вымогателя до ее развертывания. Злоумышленник получил доступ к конечным точкам, используя такие методы, как ScreenConnect, RDP и скомпрометированные учетные записи. Было обнаружено, что они использовали MEGAsync.exe для архивации данных на скомпрометированной конечной точке с последующей деинсталляцией программного обеспечения.

Время начала действий злоумышленника позволяет предположить, что он заранее знал об инфраструктуре или принимал активное участие в подготовке к развертыванию программы-вымогателя INC. В ходе тщательного расследования действий злоумышленника Huntress выявила других клиентов, столкнувшихся с подобными атаками. Своевременное уведомление позволило этим клиентам эффективно реагировать, реализовывать свои планы реагирования на инциденты и предотвращать действия по шифрованию файлов.

Для устранения таких угроз рекомендуется использовать одобренные средства удаленного мониторинга и управления (RMM) и инструменты удаленного управления/настольного компьютера, такие как ScreenConnect. Организациям также следует ограничить использование неутвержденных приложений и утилит синхронизации файлов или резервного копирования, которые не разрешены для использования в среде.

Таким образом, упреждающий поиск угроз, проведенный аналитиками Huntress, помог выявить и смягчить атаку программ-вымогателей, выявив закономерности вредоносной активности, заблаговременно уведомив клиентов и предоставив рекомендации по защите конечных точек от дальнейшего взлома. Этот инцидент подчеркивает важность постоянного мониторинга, быстрого реагирования и упреждающего анализа угроз для защиты от развивающихся киберугроз.

#ParsedReport #CompletenessLow
03-05-2024

Dj Vu or New View: Latest Okta Credential Stuffing Campaign

https://permiso.io/blog/latest-okta-credential-stuffing-campaign

Report completeness: Low

Threats:
Password_spray_technique
Residential_proxy_technique

Victims:
Okta, F3 netze e.v., Microtronix-esolutions, Orange romania communication, Ovh sas

Geo:
Indonesia, Romania

ChatGPT TTPs:
do not use without manual check
T1110, T1596, T1590

IOCs:
File: 2
IP: 105

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Okta сообщила об изменениях в инфраструктуре, связанных с атакой с использованием паролей, нацеленной на клиентов Okta, и имеющей сходство с кампанией, ранее выявленной Cisco Talos. В ходе атаки использовались пользовательские агенты и конкретные IP-адреса, в основном исходящие от локальных прокси-серверов и TOR. Для организаций, на которые нацелена эта кампания, подчеркивается важность обмена информацией об угрозах и принятия упреждающих мер кибербезопасности для обнаружения и смягчения последствий подобных атак.
-----

26 апреля 2024 года Okta сообщила о серьезной атаке с использованием учетных данных, которая использует инфраструктуру совместно с кампанией, ранее идентифицированной Cisco Talos. Кампания, за которой наблюдала Cisco, началась 18 марта и продолжалась до 16 апреля 2024 года, в основном нацеленная на VPN-устройства. Однако 19 апреля Okta заметила изменения в этой инфраструктуре, поскольку начала проводить атаки с использованием паролей против клиентов Okta. Большинство попыток использования паролей исходили от ASN, которые обычно ассоциируются с локальными прокси-серверами и TOR.

Кампания по распространению паролей имела ограниченный успех и характеризовалась определенными показателями, включая агенты пользователей и список IP-адресов, связанных с кампанией. В этой кампании были задействованы такие организации, как F3 Netze e.V., MICROTRONIX-ESOLUTIONS, Orange Romania Communication, OVH SAS и другие. Некоторые известные IP-адреса, участвовавшие в кампании, включали 185.220.100.241, 185.220.100.240, 185.220.100.243, 185.220.100.242, 23.155.24.6, и многое другое. Пользовательский агент, использовавшийся в кампании, был идентифицирован как Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0.

Совпадение результатов наблюдений Okta и Cisco Talos свидетельствует о более широком спектре угроз, в котором участники угроз адаптивно меняют тактику для устранения уязвимостей в различных системах и организациях. Подробные отчеты об IP-адресах и агентах пользователей предоставляют организациям ценную информацию об угрозах, позволяющую повысить уровень их кибербезопасности, а также эффективно выявлять и смягчать подобные атаки. Организациям, на которые нацелена эта кампания, следует пересмотреть свои меры безопасности, включая внедрение политики надежного использования паролей, мониторинг подозрительных попыток входа в систему и использование служб репутации IP-адресов для выявления и блокировки вредоносных IP-адресов, используемых в этих атаках.

#ParsedReport #CompletenessLow
03-05-2024

Watch out for tech support scams lurking in sponsored search results

https://www.malwarebytes.com/blog/news/2024/05/watch-out-for-tech-support-scams-lurking-in-sponsored-search-results

Report completeness: Low

Threats:
Teamviewer_tool
Logmein_tool

Victims:
Users clicking on malicious ads

Industry:
Financial

Geo:
Australia, Canada

ChatGPT TTPs:
do not use without manual check
T1204, T1497, T1566, T1059, T1547

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в угрозе, исходящей от злоумышленников, которые манипулируют результатами спонсируемого поиска, чтобы обманом заставить пользователей переходить по мошенническим объявлениям, что приводит к потенциальному взлому системы и мошенничеству, такому как мошенничество с технической поддержкой. В нем также подчеркиваются шаги, которые отдельные лица могут предпринять, чтобы смягчить последствия того, что они становятся жертвами подобных мошенничеств, и важность повышения осведомленности, чтобы другие не становились их жертвами.
-----

Спонсируемые результаты поиска - это рекламные объявления, отображаемые в верхней части результатов поиска с пометкой "Спонсируемые". Как правило, бренды платят за эти рекламные объявления, чтобы привлечь трафик на свои веб-сайты. Однако злоумышленники могут переплачивать за законные бренды, чтобы их мошеннические объявления появлялись в списке первыми. Эти вредоносные рекламные объявления часто выдаются за законные бренды, что заставляет пользователей переходить по ним обманом. При переходе по этим объявлениям системы пользователей могут подвергаться дактилоскопии для определения наиболее выгодного последующего действия.

Например, пользователи в системах Windows, которые нажимают на эти вредоносные объявления, могут быть перенаправлены на мошеннические веб-сайты технической поддержки. Эти мошеннические сайты используют такие тактические приемы, как отображение всплывающих окон со срочными сообщениями, звуковых фрагментов и подсказок, предписывающих пользователям позвонить по определенному номеру, утверждая, что их системы заражены вредоносным ПО. Мошенники выдают себя за известные компании, такие как Microsoft, и заставляют жертв платить непомерные суммы за поддельные услуги по удалению вредоносных программ.

Чтобы избежать последствий, связанных с тем, что вы становитесь жертвой подобных мошенничеств, физическим лицам рекомендуется предпринять определенные действия. Во-первых, им следует отменить любой удаленный доступ, который мог получить мошенник, путем перезагрузки своих компьютеров. Также рекомендуется выполнить проверку на наличие вредоносных программ с помощью таких инструментов, как Malwarebytes, для обнаружения и удаления любых угроз, которые могли быть установлены. Кроме того, изменение всех паролей, включая логин Windows, учетные записи электронной почты и банковские данные, имеет решающее значение для защиты личной информации.

В случае, если мошенник получил доступ к системе пользователя с помощью приложений для удаленного рабочего стола, таких как TeamViewer, пользователям рекомендуется записать идентификатор TeamViewer и сообщить об этом в соответствующую службу поддержки. Эта информация поможет предотвратить попытки несанкционированного доступа в будущем. Аналогичным образом, если такие сервисы, как LogMeIn, использовались не по назначению, пользователи должны сообщать об этом.

Кроме того, важно повышать осведомленность друзей, членов семьи и других лиц о том, как они становились жертвами подобных мошенничеств. Хотя признание в том, что они были обмануты, может вызывать дискомфорт, информирование других может помочь предотвратить подобные инциденты и удержать мошенников от поиска новых жертв.

#ParsedReport #CompletenessHigh
03-05-2024

Router Roulette: Cybercriminals and Nation-States Sharing Compromised Networks

https://www.trendmicro.com/en_us/research/24/e/router-roulette.html

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_criminal, cyber_espionage)
Sandworm
Duke (motivation: cyber_criminal)

Threats:
Residential_proxy_technique
Spear-phishing_technique
Ngioweb
Ramnit
Cyclops_blink
Vpnfilter
Sshdoor
Xmrig_miner
Microsocks_tool

Victims:
Ubiquiti, Government officials

Industry:
Government, Healthcare

Geo:
Ukrainian, Canadian

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1071, T1133, T1090, T1568

IOCs:
IP: 10
Hash: 27
Domain: 37

Soft:
OpenSSH, EdgeOS, outlook

Crypto:
monero

Algorithms:
bcrypt

Functions:
auth_password

Languages:
python

Platforms:
arm

Links:
https://github.com/rofl0r/microsocks
https://github.com/jivoi/openssh-backdoor-kit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: В записи блога освещаются угрозы, исходящие от киберпреступников и представителей национальных государств, которые эксплуатируют маршрутизаторы, подключенные к Интернету, с акцентом на использование Pawn Storm скомпрометированных Ubiquiti EdgeRouters в преступной деятельности. В статье описываются технические аспекты ботнета, проблемы при обнаружении таких угроз, а также юридические и технические ограничения, с которыми сталкиваются правоохранительные органы при полном уничтожении ботнета. В нем подчеркивается важность обеспечения безопасности маршрутизаторов, подключенных к Интернету, для защиты от групп APT и киберпреступников, а также приводятся индикаторы компрометации и рекомендации для сетевых защитников.
-----

Компания Pawn Storm эксплуатирует Ubiquiti EdgeRouters, используя их в качестве уровней анонимизации для вредоносных действий.

Ботнет, управляемый Pawn Storm, был взломан ФБР в январе 2024 года, но некоторые скомпрометированные устройства продолжали работать.

Технические аспекты ботнета включают использование компонентов вредоносного кода, таких как скрипты bash и Python, двоичных файлов Linux, таких как SSHDoor, для несанкционированного доступа и утечки данных.

Проблемы при обнаружении этих угроз выделяются из-за их сходства с законными реализациями SSH.

Обнаружение дополнительных ботнетов Linux, работающих на EdgeRouters, указывает на потенциальную связь с коммерчески доступными локальными ботнетами.

Несмотря на попытки демонтажа, Pawn Storm сохраняет доступ к скомпрометированным активам, таким как EdgeServers.

Вредоносные действия, осуществляемые через скомпрометированные маршрутизаторы, включают фишинговые кампании, нацеленные на государственных чиновников и пользователей веб-почты.

Киберпреступники и APT-группы используют инструменты анонимизации, такие как VPN-сервисы и локальные прокси-сети, чтобы сочетать вредоносные действия с законным трафиком.

Важность защиты маршрутизаторов, подключенных к Интернету, особенно маршрутизаторов SOHO, обусловлена уязвимостью к злоупотреблениям, учетными данными по умолчанию и отсутствием контроля безопасности.

К признакам компрометации относятся серверы управления, IP-адреса, связанные с вредоносными действиями, и исходящие IP-адреса, используемые Pawn Storm.

Сетевым защитникам рекомендуется принимать упреждающие меры безопасности и осуществлять постоянный мониторинг для защиты от групп APT и киберпреступников, нацеленных на маршрутизаторы, подключенные к Интернету.

#ParsedReport #CompletenessLow
03-05-2024

New "Goldoon" Botnet Targeting D-Link Devices

https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices

Report completeness: Low

Threats:
Goldoon

Victims:
D-link devices

CVEs:
CVE-2015-2051 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-645 firmware (le1.04b12)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1105, T1070.004, T1027, T1136, T1041, T1498

IOCs:
IP: 3
File: 1
Hash: 23

Soft:
WolfSSL, crontab

Algorithms:
xor

Functions:
GetDeviceSettings

Platforms:
mips, m68k, riscv64, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе ботнета Goldoon, который использует уязвимость почти десятилетней давности в устройствах D-Link (CVE-2015-2051) для выполнения произвольных команд, получения контроля над устройствами и запуска различных вредоносных действий, включая распределенный отказ в обслуживании (DDoS) нападения. Вредоносная программа демонстрирует сложное поведение, использует шифрование и несколько методов автозапуска для обеспечения стойкости, демонстрируя широкий спектр возможностей для вредоносных действий. В тексте также подчеркивается важность своевременного применения исправлений для снижения рисков безопасности и защиты от возникающих угроз, таких как Goldoon.
-----

Недавно FortiGuard Labs обнаружила новый ботнет под названием "Goldoon", нацеленный на уязвимость почти десятилетней давности в устройствах D-Link, в частности CVE-2015-2051. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольные команды с помощью действия GetDeviceSettings в интерфейсе HNAP, что позволяет им создавать обработанные HTTP-запросы с вредоносными командами. Ботнет использует эту уязвимость для распространения, и в апреле наблюдался всплеск активности. После взлома злоумышленники могут получить полный контроль над устройствами, извлекая системную информацию и используя ее для запуска дополнительных атак, таких как распределенный отказ в обслуживании (DDoS).

Ботнет Goldoon инициирует свою атаку, используя CVE-2015-2051 для загрузки файла под названием "dropper" с определенного URL-адреса. Этот скрипт предназначен для загрузки, выполнения и удаления потенциально вредоносных файлов в различных архитектурах Linux, используя различные методы, позволяющие избежать обнаружения. Загруженный файл с именем "goldoon" запускается сразу после загрузки с изменениями разрешений, а затем удаляются все следы его активности для повышения скрытности.

При анализе вредоносного ПО было обнаружено, что оно обладает различными функциями, включая инициализацию аргументов, установление постоянных соединений с серверами управления (C2) и ожидание команд для выполнения соответствующих действий. Вредоносная программа устанавливает шифрование с помощью "wolfSSL" и настраивает DNS-серверы Google для разрешения DNS-запросов, чтобы облегчить свои атаки.

Goldoon включает в себя десять различных методов автозапуска, разделенных на загрузочное выполнение, выполнение с помощью демона и выполнение при входе в систему, что гарантирует его выполнение при запуске компьютера жертвы или при входе пользователя в систему. Вредоносная программа настойчиво пытается подключиться к своему серверу C2, собирая системную информацию и получая команды для последующих действий, включая запуск различных типов атак по различным каналам.

В одном случае вредоносная программа Goldoon демонстрирует 27 различных методов, связанных с проведением атак, таких как синхронизация TCP и запуск DoS-атак, нацеленных на распространенные протоколы, такие как Minecraft. Вредоносная программа использует различные тактики и пакеты для выполнения атак, демонстрируя широкий спектр возможностей для вредоносной деятельности.

Хотя CVE-2015-2051 является более старой уязвимостью с низкой сложностью атаки, ее использование может привести к серьезным последствиям для безопасности, позволяя удаленно выполнять код и подключать скомпрометированные устройства к ботнетам, таким как Goldoon. Для снижения таких рисков крайне важно своевременно устанавливать исправления и обновления, учитывая постоянное развитие и внедрение новых ботнетов, использующих аналогичные уязвимости. FortiGuard Labs подчеркивает важность упреждающих мер кибербезопасности для защиты от возникающих угроз и постоянной разработки сложных вредоносных программ, таких как Goldoon.

#ParsedReport #CompletenessMedium
06-05-2024

Sample templates abused in recent Gootloader campaign

https://fieldeffect.com/blog/sample-templates-targeted-in-recent-gootloader-campaign

Report completeness: Medium

Threats:
Gootkit
Seo_poisoning_technique

Victims:
Nils japanese language school

Industry:
Financial

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1566.002, T1190, T1059.007, T1059.001, T1105, T1027, T1071.001

IOCs:
Url: 3
Path: 1
IP: 28
File: 4

Algorithms:
zip

Languages:
javascript, powershell, cscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики Field Effect security intelligence выявили растущую угрозу со стороны вредоносного ПО Gootloader, которое использует обманную тактику, такую как поисковая оптимизация (SEO), для проникновения в организации из различных отраслей. Gootloader возник как банковский троян GootKit и теперь служит важным инструментом для взлома сетей злоумышленниками, уделяя особое внимание манипулированию поисковым поведением пользователей с целью распространения контента, зараженного вредоносным ПО. Адаптивность вредоносного ПО и его успешное использование человеческих склонностей с помощью SEO-манипуляций сделали его постоянной угрозой в киберпространстве.
-----

Аналитики Field Effect security intelligence обнаружили множество инцидентов, связанных с использованием вредоносного ПО Gootloader, нацеленного на организации из различных отраслей.

Gootloader произошел от банковского трояна GootKit и в настоящее время представляет собой серьезную угрозу, часто используемую злоумышленниками для проникновения в целевые сети.

Gootloader использует методы поисковой оптимизации (SEO) для проникновения в системы жертв, манипулируя результатами поиска и направляя пользователей на скомпрометированные веб-сайты, на которых размещено вредоносное ПО.

Gootloader может извлекать дополнительные полезные данные для облегчения вредоносных операций, таких как утечка данных или шифрование файлов с целью получения выкупа, после их развертывания на конечной точке.

Gootloader перехватывает поисковые запросы пользователей, размещает вредоносные документы на законных веб-сайтах, на которых размещен соответствующий контент, и использует склонность пользователей к поиску примеров с помощью поисковых систем, таких как Google.

В одном инциденте, подробно описанном аналитиками Field Effect, взаимодействие с вредоносным файлом JavaScript, размещенным на внешнем URL-адресе, привело к активации Gootloader, что позволило загрузить дополнительные вредоносные файлы.

Gootloader расширил сферу своей деятельности, выйдя за рамки стандартных шаблонов юридических документов, и включил в нее такие отрасли, как недвижимость и юридические услуги, что свидетельствует о гибкости и настойчивости в использовании человеческого поведения посредством манипулирования поисковыми системами.

Успех Gootloader заключается в том, что он использует человеческие склонности и поисковые привычки, обеспечивая непрерывное использование до тех пор, пока сохраняется такая возможность.

#ParsedReport #CompletenessMedium
03-05-2024

An Update on Akira Ransomware

https://explore.avertium.com/resource/an-update-on-akira-ransomware

Report completeness: Medium

Threats:
Akira_ransomware
Megazord
Kerberoasting_technique
Mimikatz_tool
Lazagne_tool
Powertool_tool
Anydesk_tool
Mobaxterm_tool
Rustdesk_tool
Shadow_copies_delete_technique

Victims:
4leaf, Park-rite, Family day care services, Bridgevalley community and technical college, Uk-based architecture firm, Us-based it services company, European pharmaceutical company

Industry:
Financial, Healthcare

Geo:
Australia, Canadian, American, America, Netherlands

ChatGPT TTPs:
do not use without manual check
T1566, T1210, T1110, T1486, T1485

IOCs:
File: 1
Hash: 34

Soft:
ESXi, Local Security Authority, WinSCP

Algorithms:
sha1, md5, chacha20, sha256

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении и эволюции группы программ-вымогателей Akira, ее тактике, нацеленной на малый и средний бизнес, значительном влиянии, которое она оказала, заработав миллионы на выплате выкупа и взломе многочисленных объектов, ее переходе на виртуальные машины VMware ESXi с версией Linux, инструментах, которые она использовала. например, инструмент шифрования Megazord и совместное руководство, выпущенное агентствами кибербезопасности и исследователями для устранения угроз, исходящих от Akira. В тексте также подчеркивается важность внедрения рекомендуемых мер безопасности, проведения аудитов безопасности, использования средств контроля доступа, обновления программного обеспечения, сегментации сети и создания резервных копий для защиты от атак программ-вымогателей, подобных тем, которые были проведены Akira.
-----

В отчете Threat Intelligence, подготовленном командой Avertium по анализу киберугроз весной 2023 года, говорилось о появлении группы программ-вымогателей Akira, нацеленной на малый и средний бизнес и требующей выкуп в размере от 50 000 до 500 000 долларов. Акира использовал такие тактики, как фишинговые электронные письма, использование уязвимостей в программном обеспечении и RDP-атаки методом перебора, чтобы получить доступ к системам жертв. К весне 2024 года Акира привлек к себе внимание, заработав около 42 миллионов долларов на выплате выкупа и взломав более 250 организаций на разных континентах.

Эволюция Akira включала в себя смещение акцента на виртуальные машины VMware ESXi с использованием версии Linux, которая изначально предназначалась для систем Windows. Группа программ-вымогателей внедрила Megazord, инструмент шифрования на основе Rust, изменив расширения файлов с .akira на .powerranges. Рекомендации по защите от атак Akira включали проведение аудита безопасности, внедрение контроля доступа, обновление программного обеспечения, использование многофакторной аутентификации, сегментацию сетей и ведение автономного резервного копирования.

В 2023 году Akira взяла на себя ответственность за атаки на такие компании, как 4LEAF, Park-Rite и Family Day Care Services, с требованием выкупа и продажей данных в даркнете. В 2024 году ФБР, CISA, EC3 и NCSC-NL выпустили совместное консультативное заключение, в котором подчеркивается влияние Akira на бизнес и критически важную инфраструктуру, включая переход на системы Linux и использование передовых схем шифрования. Тактика Акиры включала в себя средства разведки, проверку учетных данных, каналы командования и контроля, а также гибридные методы шифрования.

Совместные усилия агентств по кибербезопасности и исследователей повысили осведомленность о стратегиях Akira, подчеркнув необходимость упреждающих защитных мер и устойчивых протоколов кибербезопасности. Организациям рекомендуется опережать такие угрозы, как Akira, применяя рекомендуемые меры безопасности, включая всесторонний аудит, контроль доступа, внесение исправлений, сегментацию сети, мониторинг и резервное копирование. Для компаний крайне важно уделять приоритетное внимание кибербезопасности и применять проактивные стратегии защиты, чтобы снизить риски, связанные с такими группами программ-вымогателей, как Akira.