W ostatnich latach zagrożenia związane z ransomware zyskały na intensywności – około 3,2% polskich przedsiębiorstw co tydzień mierzy się z próbami tego typu ataków. Jednym z nowszych przykładów jest ransomware Akira, które szyfruje dane ofiar, a w przypadku odmowy zapłaty okupu, grozi ujawnieniem skradzionych informacji w Dark Webie. Celem ataków Akiry są zarówno korporacje, jak i mniejsze organizacje. Eksperci Check Point Research przedstawili mechanizmy działania tego ransomware, aby móc skutecznie się przed nim chronić.
W przypadku wykrytej po raz pierwszy w 1 kwartale 2023 roku Akiry, atak rozpoczyna się od zainfekowanych załączników w e-mailach oraz wykorzystywania luk w zabezpieczeniach punktów końcowych VPN i niezabezpieczonych połączeń RDP (Remote Desktop Protocol). Po uzyskaniu dostępu, atakujący implementują ransomware, który szyfruje pliki i uniemożliwia dostęp do nich bez specjalnego klucza deszyfrującego. W wiadomości przekazywanej ofiarom pojawia się ostrzeżenie, że brak zapłaty spowoduje wyciek danych na platformy Dark Webu.
Ataki Akiry są motywowane finansowo. Często uderzają w organizacje, które przechowują wrażliwe dane, takie jak informacje osobowe klientów, dane medyczne czy tajemnice handlowe. Ujawnienie takich danych może prowadzić do poważnych konsekwencji prawnych i reputacyjnych, co sprawia, że ofiary są bardziej skłonne do zapłaty.
Analitycy Check Pointa odkryli niedawno, że nowa (szacowana na początek 2024 roku) modyfikacja Akiry zaczęła wykorzystywać język programowania Rust. Jest on ceniony za wydajność i trudność wykrywania, w związku z czym umożliwia twórcom złośliwego oprogramowania szybsze działanie oraz większą elastyczność w omijaniu mechanizmów zabezpieczeń. Przeprowadzona analiza wskazuje na zaawansowane techniki szyfrowania i potencjalnie nowe możliwości w zakresie infekcji oraz manipulacji danymi ofiar. Eksperci podkreślają, że rozwój Akiry w Rust wymaga od zespołów SOC nowego podejścia do ochrony sieci i przeciwdziałania tego typu zagrożeniom.
Jak się chronić?
Zespoły SOC (Security Operations Center) odgrywają kluczową rolę w wykrywaniu i zapobieganiu atakom ransomware. Oto kilka podstawowych kroków, które mogą pomóc w ochronie przed Akrą:
- Regularne aktualizacje systemów – Upewnij się, że wszystkie oprogramowania są na bieżąco aktualizowane, aby minimalizować ryzyko wykorzystania luk bezpieczeństwa.
- Silne hasła i MFA – Stosowanie uwierzytelniania wieloskładnikowego i unikalnych haseł ogranicza możliwości nieautoryzowanego dostępu.
- Monitorowanie sieci – Wykorzystuj narzędzia do analizy ruchu sieciowego w celu identyfikowania nietypowych aktywności.
- Regularne kopie zapasowe – Upewnij się, że ważne dane są regularnie kopiowane i przechowywane w bezpiecznym, odizolowanym środowisku.
- Edukacja pracowników – Szkolenia w zakresie rozpoznawania phishingu i innych technik socjotechnicznych mogą zmniejszyć ryzyko przypadkowego umożliwienia ataku.
Akira ransomware stanowi realne zagrożenie, które wymaga skutecznych i kompleksowych działań obronnych. Organizacje, które inwestują w nowoczesne technologie bezpieczeństwa oraz szkolenie personelu, mają większe szanse na ochronę przed cyberatakami. Jednak nawet najlepsze zabezpieczenia nie zastąpią czujności i świadomości zagrożeń.