Operasi ransomware Akira yang baru perlahan-lahan membangun daftar korban karena mereka melanggar jaringan perusahaan di seluruh dunia, mengenkripsi file, dan kemudian meminta uang tebusan jutaan dolar.
Diluncurkan pada Maret 2023, Akira mengklaim telah melakukan penyerangan terhadap enam belas perusahaan. Perusahaan-perusahaan ini berada di berbagai industri, termasuk pendidikan, keuangan, real estat, manufaktur, dan konsultasi.
Sedangkan ransomware lainnya bernama Akira dirilis pada tahun 2017tidak diyakini bahwa operasi ini terkait.
Enkripsi Akira
Sampel ransomware Akira ditemukan oleh Tim Pemburu Malwareyang membagikan sampel dengan BleepingComputer sehingga kami dapat menganalisisnya.
Saat dijalankan, Akira akan menghapus Windows Shadow Volume Copies di perangkat dengan menjalankan perintah PowerShell berikut:
powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
Ransomware kemudian akan melanjutkan untuk mengenkripsi file yang berisi ekstensi file berikut:
.accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .db-wal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcxSaat mengenkripsi, enkripsi akan melewatkan file yang ditemukan di Recycle Bin, Informasi Volume Sistem, Boot, ProgramData, dan folder Windows. Ini juga akan menghindari enkripsi file sistem Windows dengan ekstensi file .exe, .lnk, .dll, .msi, dan .sys.
Saat mengenkripsi file, ransomware mengenkripsi file dan menambahkan .akira ekstensi akan ditambahkan ke nama file.
Misalnya, file bernama 1.doc akan dienkripsi dan diganti namanya menjadi 1.doc.akira, seperti yang ditunjukkan pada folder terenkripsi di bawah ini.
Sumber: BleepingComputer
Akira juga menggunakan Manajer Mulai Ulang Windows API untuk menutup proses atau mematikan layanan Windows yang mungkin membuat file tetap terbuka dan mencegah enkripsi.
Setiap folder komputer akan berisi catatan tebusan bernama akira_readme.txt itu termasuk informasi tentang apa yang terjadi pada file korban dan tautan ke situs kebocoran data Akira dan situs negosiasi.
“Mengenai data Anda, jika kami tidak setuju, kami akan mencoba menjual informasi pribadi/rahasia dagang/database/kode sumber – secara umum, segala sesuatu yang memiliki nilai di pasar gelap – kepada beberapa pelaku ancaman sekaligus. Kemudian semua ini akan dipublikasikan di blog kami,” ancam catatan tebusan Akira.
Sumber: BleepingComputer
Setiap korban memiliki kata sandi negosiasi unik yang dimasukkan ke situs Tor pelaku ancaman. Tidak seperti banyak operasi ransomware lainnya, situs negosiasi ini hanya menyertakan sistem obrolan yang dapat digunakan korban untuk bernegosiasi dengan geng ransomware.
Sumber: BleepingComputer
Situs pembocor data digunakan untuk memeras korban
Seperti operasi ransomware lainnya, Akira akan menembus jaringan perusahaan dan menyebar secara lateral ke perangkat lain. Setelah pelaku ancaman mendapatkan kredensial admin domain Windows, mereka akan menyebarkan ransomware di seluruh jaringan.
Namun, sebelum mengenkripsi file, pelaku ancaman akan mencuri data perusahaan untuk dimanfaatkan dalam upaya pemerasan mereka, memperingatkan korban bahwa itu akan dirilis ke publik jika uang tebusan tidak dibayarkan.
Geng Akira berusaha keras untuk situs kebocoran data mereka, memberikan tampilan retro di mana pengunjung dapat menavigasinya dengan mengetikkan perintah, seperti yang ditunjukkan di bawah ini.
Sumber: BleepingComputer
Pada saat penulisan ini, Akira telah membocorkan data empat korban di situs kebocoran data mereka, dengan ukuran data yang bocor mulai dari 5,9 GB untuk satu perusahaan hingga 259 GB untuk perusahaan lainnya.
Dari negosiasi yang dilihat oleh BleepingComputer, geng ransomware menuntut uang tebusan mulai dari $200.000 hingga jutaan dolar.
Mereka juga bersedia menurunkan permintaan tebusan untuk perusahaan yang tidak membutuhkan dekripsi, dan hanya ingin mencegah bocornya data yang dicuri.
Ransomware saat ini sedang dianalisis kelemahannya, dan BleepingComputer tidak menyarankan korban untuk membayar tebusan sampai ditentukan apakah dekripsi gratis dapat memulihkan file secara gratis.
