Threat Brief: Understanding Akira Ransomware | Qualys Security Blog
- 개요
- Akira 랜섬웨어는 2023년 3월부터 활동을 시작했으며, 주로 북미, 영국, 호주의 다양한 산업을 대상으로 공격을 수행함
- Ransomware as a Service(RaaS) 모델로 운영되며, 데이터를 암호화하기 전에 데이터를 유출하여 이중 협박을 통한 공격을 실행함
- Akira는 Conti 랜섬웨어 그룹과 코드 중복을 가지고 있으며, 이전 Conti 그룹 멤버들이 관련된 것으로 추정됨
- 공격 기법 및 절차
- 초기 접근
- 해킹된 자격 증명 사용
- 초기 접근 브로커를 통해 구매한 인증서를 사용하거나 MFA를 사용하지 않은 취약점을 악용함
- CVE-2021-21972, CVE-2019-6693, CVE-2022-40684, CVE-2023-20269와 같은 취약점을 악용하여 접근함
- 탐색 및 네트워크 스캔
- Active Directory 정보를 수집하고 네트워크를 스캔하여 측면 이동(Lateral Movement)을 준비함
- 사용 도구
- Get-ADUser, Get-ADComputer, SoftPerfect Network Scanner, SharpHound
- 지속성 유지 및 명령 제어
- RSAT-AD, NetCat, AnyDesk, Ngrok 등과 같은 도구를 통해 접근을 유지하고 원격 제어를 실행함
- 자격 증명 탈취
- Mimikatz, LaZagne, NTDS dump와 같은 도구를 사용해 자격 증명을 탈취함
- 방어 회피 및 데이터 탈취
- Windows Defender 비활성화, 사용자 목록 수정, BYOVD 공격을 통해 보안 제품을 비활성화함
- WinScp, Rclone과 같은 도구로 데이터를 수집하고 TOR 웹사이트에 유출함
- 초기 접근
- 악성코드 샘플 분석
- 파일 암호화
- ChaCha 알고리즘을 사용하여 파일을 암호화하며, 로그 파일을 생성해 실행 과정을 기록함
- 특정 명령어를 사용하여 디스크 복사본을 삭제함
(e.g.powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
) - 로그 파일 생성 및 명령행 인자를 통해 암호화 경로, 네트워크 드라이브 등을 정의함
- 파일 암호화
- 결론
- RaaS는 고급 기술이 없는 공격자들도 랜섬웨어 공격을 실행할 수 있도록 하여 중대한 위협으로 부상하고 있음
- Akira는 빠르게 확산 중이며, 조직은 다중 인증(MFA) 사용을 통해 외부로부터의 접근을 보호하고 엔드포인트 보호 솔루션을 통해 방어해야 함
- MITRE ATT&CK 기술
- T1190: 공개된 애플리케이션 취약점 악용
- T1133: 외부 원격 서비스
- T1078: 유효한 계정 사용
- T1486: 데이터를 암호화하여 피해 유발
- T1021.001: 원격 데스크톱 프로토콜
- 침해 지표 (IoCs)
- Akira 샘플
- e57340a208ac9d95a1f015a5d6d98b94
- e8139b0bc60a930586cf3af6fa5ea573
- a1f4931992bf05e9bff4b173c15cab15
- Akira 샘플
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
Cloudflare, 3.8Tbps 규모의 기록적인 DDoS 공격 완화 (0) | 2024.10.10 |
---|---|
MedusaLocker 변종 'BabyLockerKZ'를 배포하는 새로운 공격자 활동 (1) | 2024.10.09 |
'프로젝트7' 개인정보 요구 논란에 대한 제작진 입장 (7) | 2024.10.09 |
북한 해커 조직 김수키, '블루샤크' 전술로 APT 공격 감행 (1) | 2024.10.09 |
북한 해커 조직 김수키, 독일 방산업체 ‘딜 디펜스’ 해킹 시도: K-방산에 미치는 영향과 파장 (4) | 2024.10.09 |