Zagrożenie związane z oprogramowaniem wymuszającym okup „Akira”: niezbędny przewodnik

Oprogramowanie wymuszające okup Akira szybko stało się jednym z najbardziej destrukcyjnych zagrożeń cybernetycznych ostatnich lat, atakując organizacje z wielu branż. Według badań przeprowadzonych przez CISA, w okresie od marca 2023 r. do stycznia 2024 r. grupa stojąca za oprogramowaniem wymuszającym okup Akira zaatakowała ponad 250 organizacji, żądając łącznie 42 milionów dolarów okupu.

Firmy każdej wielkości muszą zrozumieć, jak działa to oprogramowanie wymuszające okup, aby wzmocnić swoje zabezpieczenia i zminimalizować ryzyko. Przeczytaj ten wpis, aby dowiedzieć się więcej o zagrożeniu związanym z oprogramowaniem wymuszającym okup Akira, jego cyklu życia oraz praktycznych strategiach obrony przed przyszłymi atakami.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

Zrozumienie zagrożenia związanego z oprogramowaniem wymuszającym okup Akira

Oprogramowanie wymuszające okup Akira to niebezpieczny rodzaj oprogramowania wymuszającego okup, które wykorzystuje model podwójnego szantażu. Kradnie ono poufne dane przed ich szyfrowaniem i grozi ich ujawnieniem, jeśli okup nie zostanie zapłacony. Oprogramowanie to pojawiło się w marcu 2023 r. i wykorzystuje model dystrybucji Oprogramowanie wymuszające okup jako usługa .

Liczba podmiotów, które według doniesień padły ofiarą ataku, rośnie i obejmuje znane organizacje w różnych krajach (zwłaszcza w Ameryce Północnej, Europie i Australii). Lista ofiar oprogramowania wymuszającego okup Akira zawiera również przedsiębiorstwa działające w różnych branżach (edukacja, finanse, produkcja, nieruchomości, prawo, opieka zdrowotna, infrastruktura krytyczna oraz usługi komunalne i rządowe).

Typowe, nowoczesne kampanie oprogramowania wymuszającego okup Akira są wysoce ukierunkowane, zaawansowane technicznie i motywowane finansowo. Czynniki te łączą potajemną infiltrację z katastrofalnymi skutkami dla działalności biznesowej.

Oprócz komputerów z systemem Windows, Akira intensywnie skupia się na atakowaniu hostów ESXi w celu zakłócenia działania maszyn wirtualnych i zniszczenia ich poprzez szyfrowanie danych. Strategia ta sprawia, że oprogramowanie wymuszające okup jest niezwykle niszczycielskie i paraliżuje organizację korzystającą z infrastruktury wirtualnej do prowadzenia działalności biznesowej. Około 50% ataków w 2024 r. było skierowanych przeciwko VMware ESXi z wykorzystaniem wielu luk w zabezpieczeniach.

Początkowo oprogramowanie Akira zostało opracowane w języku C++, zwłaszcza wersja dla systemu Windows; w grudniu 2023 r. zespół IBM X-Force wykrył próbkę skompilowaną w języku C++. Wersja Akira_v2 została napisana w języku Rust, co zwiększa jej funkcjonalność i odporność na analizę. Istnieją zarówno warianty dla systemu Windows, jak i Linux, dostosowane do poszczególnych platform (CryptoAPI vs Crypto++).

Cykl życia ataku oprogramowania wymuszającego okup Akira: krok po kroku

Aby zabezpieczyć się przed atakami oprogramowania wymuszającego okup Akira, należy zrozumieć, jak działa to oprogramowanie na różnych etapach cyberataku. Pozwala to na wdrożenie środków zapobiegawczych w zakresie ochrony danych.

Krok 1 – Wstępny dostęp poprzez zdalne punkty wejścia

Sprawcy ataków oprogramowania wymuszającego okup typu Akira często uzyskują wstępny dostęp poprzez zdalne punkty wejścia, wykorzystując narażone lub słabo zabezpieczone usługi. Strategia ta pozwala im uzyskać dostęp do sieci docelowej bez fizycznego kontaktu z nią.

Wykorzystanie podatnych na ataki usług VPN i RDP

Atakujący często uzyskują dostęp do sieci ofiary, wykorzystując luki typu zero-day oraz niezałatane luki w popularnych produktach sieci prywatnych (VPN) (bramach) oraz oprogramowaniu do zdalnego dostępu wykorzystującym protokół RDP (Remote Desktop Protocol).

Przykłady produktów i luk wykorzystywanych przez Akirę:

  • Cisco ASA / FTD — np. CVE-2023-20269, luka umożliwiająca eskalację uprawnień w procesie uwierzytelniania VPN.
  • Urządzenia SonicWall Secure Mobile Access (SMA) — szczególnie gdy nie są one zaktualizowane lub nie posiadają uwierzytelniania wieloskładnikowego (MFA).
  • Luki w zabezpieczeniach Fortinet FortiGate SSL VPN — w tym stare luki, takie jak CVE-2018-13379, nadal wykorzystywane na urządzeniach, które nie są aktualizowane.

Taktyki uzyskiwania nieautoryzowanego dostępu do sieci ofiary obejmują następujące elementy:

  • Skanowanie Internetu w poszukiwaniu urządzeń z nieaktualnym oprogramowaniem sprzętowym.
  • Wykorzystanie luki w celu ominięcia uwierzytelniania lub wykonania kodu.
  • Wykorzystanie skradzionych tokenów sesji lub danych uwierzytelniających w postaci zwykłego tekstu przechowywanych w pamięci. Sprawcy ataków oprogramowania wymuszającego okup Akira mogą wykonać mini zrzut pamięci procesu LSASS (Local Security Authority Subsystem Service) w celu zebrania dodatkowych danych uwierzytelniających.
  • Bezpośredni atak metodą brute-force na słabo zabezpieczone konta.
  • Wykorzystanie danych uwierzytelniających wyciekających z rynków dark web.
  • Wykorzystanie luk w bramkach RDP lub przestarzałych usług pulpitu zdalnego systemu Windows.

W niektórych przypadkach grupa oprogramowania wymuszającego okup Akira wykorzystywała:

  • AnyDesk, TeamViewer lub VNC ze słabymi lub ponownie używanymi hasłami.
  • Narzędzia MSP RMM (zdalnego monitorowania i zarządzania) były wykorzystywane w przypadku przejęcia kont dostawców usług zarządzanych (MSP).
  • Konsola administracyjna w chmurze (Microsoft 365, AWS) do wdrażania skryptów w sieci.

Uwaga: Firma Microsoft wdrożyła obowiązkowe uwierzytelnianie wieloskładnikowe w celu zmniejszenia tego ryzyka dla administratorów Microsoft 365.

Przejęte dane uwierzytelniające

Atakujący często wykorzystują dane uwierzytelniające skradzione podczas poprzednich ataków. Dlatego ważne jest stosowanie unikalnych danych uwierzytelniających i przestrzeganie zasad bezpieczeństwa. Metoda ta pozwala atakującym wykorzystującym oprogramowanie wymuszające okup Akira uzyskać dostęp do sieci ofiary bez wykorzystywania luk w zabezpieczeniach. W rezultacie atakujący, uzyskując dostęp do sieci, sprawiają wrażenie legalnych użytkowników, nie naruszając przy tym innych środków bezpieczeństwa.

Aby zdobyć dane uwierzytelniające, atakujący stosują również tradycyjne taktyki, w tym:

  • phishing oraz wiadomości e-mail typu spear-phishing pozwalające na przechwycenie nazw użytkowników i haseł do sieci VPN.
  • Programy rejestrujące naciśnięcia klawiszy/kradnące informacje (takie jak RedLine Stealer) na urządzeniach osobistych użytkowników zdalnych.

Wykorzystywane są słabe punkty:

  • Brak uwierzytelniania wieloskładnikowego (MFA) podczas logowania do sieci VPN i e-maila.
  • Słabe hasła, które można złamać metodą brute force.
  • Ataki oparte na zmęczeniu użytkownika uwierzytelnianiem wieloskładnikowym (powtarzające się monity o logowanie, aż użytkownik się zgodzi).

Cyberprzestępcy mogą zastosować atak metodą brute force, jeśli nie znajdą pasujących danych uwierzytelniających. Ten rodzaj ataku zazwyczaj jest skierowany przeciwko usługom RDP i SSH i może zakończyć się sukcesem, jeśli używane są powszechnie znane lub słabe hasła.

Typowy łańcuch zdalnego dostępu dla oprogramowania wymuszającego okup Akira wygląda następująco:

Skanowanie Internetu → Identyfikacja narażonej usługi → Wykorzystanie luki w zabezpieczeniach VPN lub kradzież danych uwierzytelniających → Uwierzytelnienie w zdalnej usłudze → Umieszczenie narzędzi do rozpoznania i zbierania danych uwierzytelniających → Ruch boczny

Krok 2 – Utrzymanie dostępu i eskalacja uprawnień

Połączenie legalnych narzędzi administracyjnych, błędnych konfiguracji i niestandardowych skryptów pozwala oprogramowaniu wymuszającemu okup Akira utrzymać długoterminowy dostęp i działać z pełnymi uprawnieniami systemowymi. Trwałość oznacza pozostanie w środowisku ofiary nawet po wykryciu lub ponownym uruchomieniu systemu. Po uzyskaniu dostępu do sieci atakujący zapewniają sobie trwałość, stosując techniki uniemożliwiające wykrycie ich działań, w tym tworzenie nowych kont i eskalację uprawnień.

Tworzenie nowych kont

Podczas infekowania systemów Windows oprogramowanie wymuszające okup Akira dodaje lokalnych użytkowników z uprawnieniami administratora systemu Windows lub administratorów domeny w celu zapewnienia sobie stałego dostępu. Czasami maskuje się, używając ogólnych nazw ( admin , helpdesk ). W środowiskach Active Directory Akira tworzy ukryte konta z delegowanymi uprawnieniami. Jeśli włączono uwierzytelnianie wieloskładnikowe (MFA), atakujący mogą czasami wykraść tokeny aktywnych sesji lub wartości plików cookie z przeglądarek, aby ominąć ponowne uwierzytelnianie.

Konfigurowanie zaplanowanych zadań i usług

Oprogramowanie wymuszające okup Akira tworzy zaplanowane zadania, które uruchamiają złośliwe skrypty lub powłoki odwrotne podczas uruchamiania systemu. Then, the ransomware modifies services to launch its tools and renames malicious services to look like legitimate operating system (OS) services.

Installing remote access tools

Akira ransomware deploys AnyDesk, TeamViewer or RMM agents to retain access even if VPN credentials are revoked. It configures them to auto-start and hide from the taskbar. In Windows, registry settings are edited by modifying startup items and registry keys. Akira alters:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

and

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

These techniques ensure payloads reload on reboot.

After performing these actions, Akira ransomware clears system logs to erase records that could point to its activity. These tactics make it more difficult to identify an attack. Persistence ensures Akira can return even after “cleanup” attempts, slowly exfiltrate data over time for double extortion and deploy the final ransomware payload only after getting full network control.

Privilege escalation

Privilege escalation enables Akira to transition from normal user rights to system-level or domain-level control. Akira ransomware can exploit local privilege escalation vulnerabilities by using public exploits for unpatched Windows flaws (for example, CVE-2021-34527 PrintNightmare). It also targets kernel-level vulnerabilities to gain SYSTEM privileges.

Credential dumping includes dumping Windows cached credentials, domain admin hashes and LSA secrets. Once domain admin credentials are stolen, AD can be fully controlled. Akira uses stolen NTLM hashes or Kerberos tickets to impersonate privileged users without knowing their plaintext passwords. With privilege escalation, Akira ransomware can make maximum impact when encrypting because of access to backups, shadow copies and sensitive servers, which can turn off defenses across the domain.

Step 3 – Lateral movement and reconnaissance

Akira ransomware operators perform lateral movement and reconnaissance methodically. While most ransomware uses the “fire-and-forget” approach, Akira behaves more like an advanced human-led intrusion. It can even disable some security protection software.

Once inside, the attackers aim to identify high-value data and systems, with the goal of causing further damage to the target organization. Kolejnym etapem jest zidentyfikowanie dostępu w całej sieci przed wdrożeniem szyfrowania. Dlatego przed rozpoczęciem ataku w kierunku poprzecznym Akira musi wiedzieć, co znajduje się w sieci i gdzie są wartościowe cele.

Skanowanie sieci stanowi pierwszy krok rozpoznania. Mapowanie sieci pozwala oprogramowaniu wymuszającemu okup zidentyfikować cele do przeprowadzenia początkowego ataku. Do wykrywania aktywnych hostów wykorzystuje się wbudowane narzędzia, takie jak ping , arp -a oraz netstat . Inne skanery, takie jak Advanced IP Scanner lub nmap , mogą mapować podsieci. Skrypty PowerShell wysyłają zapytania do Active Directory w celu uzyskania informacji o strukturze domeny, przynależności do grup, hierarchii jednostek organizacyjnych (OU) oraz lokalizacjach kont administracyjnych.

Następnie oprogramowanie wymuszające okup Akira identyfikuje kluczowe zasoby. Celami są serwery plików, kontrolery domeny, urządzenia NAS oraz serwery baz danych. Szuka ono infrastruktury kopii zapasowych, aby później ją wyłączyć lub zaszyfrować, a także wyszukuje dyski współdzielone i foldery synchronizowane w chmurze.

Akira umożliwia zdalny dostęp do usług, nawet jeśli są one wyłączone:

  • RDP (Remote Desktop Protocol) – często po włączeniu go za pomocą GPO (obiektów zasad grupy), jeśli jest wyłączony.
  • SMB (Server Message Block) – w celu kopiowania narzędzi i ładunków między hostami.
  • WMI (Windows Management Instrumentation) – w celu zdalnego wykonywania poleceń bez generowania logów RDP.

Akira wykorzystuje skradzione skróty NTLM lub bilety Kerberos do uwierzytelniania się w innych systemach bez znajomości hasła. Wyodrębnienie danych uwierzytelniających pozwala na wyłączenie agentów AV/EDR przy użyciu skradzionych uprawnień administratora.

To oprogramowanie wymuszające okup wykorzystuje legalne narzędzia, takie jak:

  • PsExec (z pakietu Sysinternals) do uruchamiania poleceń na zdalnych systemach.
  • PowerShell Remoting do wykonywania ładunków bez zapisywania ich na dysku.
  • Net use do montowania zdalnych udziałów i wycieku plików.

Akira może wykorzystać narzędzia MSP RMM (ConnectWise, AnyDesk itp.) już wdrożone w środowisku, aby przejść na inne komputery bez wywoływania alertów. Dostawcy usług zarządzanych powinni zachować ostrożność i rozwiązać Wyzwania związane z cyberbezpieczeństwem w MSP w celu ochrony danych własnych i klientów.

Narzędzia i ładunki ransomware są kopiowane na inne komputery w celu przygotowania się do kolejnego etapu ataku. 

Rozpoznanie i ruchy boczne pozwalają oprogramowaniu wymuszającemu okup zmaksymalizować skutki szyfrowania poprzez jednoczesne atakowanie jak największej liczby komputerów. W rezultacie może uzyskać dostęp do poufnych danych w celu przeprowadzenia podwójnego szantażu (kradzież danych + szyfrowanie) oraz zniszczyć kopie zapasowe, aby zmusić ofiary do zapłacenia okupu.

Krok 4 – Wyciek danych

Oprogramowanie wymuszające okup Akira często rozpoczyna działanie od zebrania i skompresowania poufnych danych w celu ułatwienia ich przesyłania i ukrycia. Do najczęściej używanych narzędzi należą WinRAR służące do kompresji plików do archiwów (format RAR). Atakujący mogą również korzystać z FileZilla , WinSCP oraz rclone w celu pakowania i przesyłania skradzionych danych. Narzędzia te są legalne (zaufane i umieszczone na białej liście) i nie budzą podejrzeń, w przeciwieństwie do specjalnie stworzonych narzędzi. W niektórych atakach dane były bezpośrednio przesyłane na dyski w chmurze MEGA skonfigurowane przez atakujących.

Archiwa WinRAR zostały wyeksfiltrowane przy użyciu przeglądarki internetowej Chrome ( Chrome.exe ), a skompresowane pliki wysyłano do zewnętrznych zakresów adresów IP, tak aby ruch wyglądał na legalny. Akira wycieka dane przy użyciu różnych narzędzi, aby proces ten był szybki i skuteczny. Podczas jednego z ataków oprogramowania wymuszającego okup Akira atakujący skompresowali 34 GB danych za pomocą WinRAR i wysłali je do zewnętrznego zasobu. Po uzyskaniu dostępu do sieci organizacji zakończenie ataku zajęło im około dwóch godzin.

Krok 5 – Szyfrowanie i zakłócenie działalności

Akira wykorzystuje hybrydowy model szyfrowania. To oprogramowanie wymuszające okup najpierw szyfruje dane za pomocą szybkiego szyfru symetrycznego (ChaCha20 lub KCipher-2), a następnie zabezpiecza klucz symetryczny za pomocą zakodowanego na stałe klucza publicznego RSA, zazwyczaj RSA-4096. Każdy zainfekowany plik ma klucz symetryczny dołączony na końcu i jest szyfrowany przy użyciu wbudowanego klucza RSA. Akira może częściowo szyfrować pliki blokami, a nie w całości, aby przyspieszyć szyfrowanie, jednocześnie maksymalizując szkody. Na przykład małe pliki (< 2 MB) mogą być zaszyfrowane tylko w 50%, podczas gdy większe są dzielone na wiele skompresowanych bloków w celu selektywnego szyfrowania.

Zaszyfrowane pliki otrzymują rozszerzenie „. akira ” (oraz inne, takie jak . powerranges lub . akiranew w nowszych wariantach). Oprogramowanie wymuszające okup celowo pomija pliki i katalogi krytyczne dla systemu, takie jak . exe , . dll , foldery systemowe, Kosz oraz Windows , aby zachować stabilność systemu do momentu zakończenia operacji. Akira rozpoczyna atak od usunięcia wszystkich kopii cieni woluminów systemu Windows za pomocą PowerShell (lub WMI), skutecznie uniemożliwiając ofiarom przywrócenie danych do poprzedniego stanu.

Oprogramowanie wymuszające okup Akira działa szczególnie agresywnie w stosunku do VMware ESXi hiperwizorów. Potrafi zaszyfrować całe hosty, aby jednym atakiem zakłócić działanie wielu maszyn wirtualnych, wyłączyć usługi zabezpieczeń, zatrzymać maszyny wirtualne oraz manipulować danymi uwierzytelniającymi ESXi w celu zablokowania dostępu administratorom.

Po zakończeniu szyfrowania oprogramowanie wymuszające okup Akira pozostawia żądania okupu w każdym dotkniętym katalogu, zazwyczaj o nazwach akira_readme.txt lub fn.txt . Pliki te zawierają unikalny kod ofiary oraz link do negocjacji oparty na sieci TOR, grożący wydaniem danych i żądający okupu w Bitcoinach.

Atakowanie hostów ESXi

Chociaż systemy Windows są głównymi celami służącymi do rozpoczęcia ataku i rozprzestrzeniania go w sieci w celu zainfekowania innych maszyn, hosty ESXi są również częstymi celami. Przyjrzyjmy się, w jaki sposób oprogramowanie wymuszające okup Akira atakuje hosty ESXi.

  • Po uzyskaniu dostępu do sieci atakujący wyszukują hosty ESXi podłączone do vCenter lub dostępne bezpośrednio przez SSH.
  • Oprogramowanie wymuszające okup Akira może wykorzystywać podatne na ataki wersje vCenter/ESXi. W przypadku braku poprawek mogą zostać wykorzystane znane luki, takie jak CVE-2021-21972, CVE-2021-21985 i CVE-2020-3992.
  • Gdy atakujący uzyskają dostęp do ESXi przez SSH (zazwyczaj włączone na hostach do celów administracyjnych), przesyłają i uruchamiają program szyfrujący Akira w formacie ELF dla systemu Linux bezpośrednio na hoście. Oprogramowanie wymuszające okup wyłącza usługi zabezpieczeń ESXi.
  • Oprogramowanie wymuszające okup montuje woluminy magazynów danych w innym systemie lub wykorzystuje wbudowane narzędzia ( vmkfstools , scp ) do kopiowania plików . vmdk oraz . vmx w celu kradzieży danych maszyn wirtualnych.
  • Po kradzieży danych Akira wyłącza maszyny wirtualne za pomocą:

vim-cmd vmsvc/getallvms

vim-cmd vmsvc/power.off

i szyfruje pliki w magazynach danych za pomocą narzędzia szyfrującego, podobnie jak w systemie Linux.

Jak wykrywać i chronić się przed oprogramowaniem wymuszającym okup Akira

Strategie wykrywania stanowią niezbędne środki zapobiegawcze, które wymagają kompleksowego podejścia i powinny obejmować wiele działań.

  • Monitorowanie zachowań punktów końcowych i sieci. Należy korzystać z systemów EDR/XDR (Endpoint Detection and Response/Extended Detection and Response) w celu wykrywania podejrzanych zachowań (wyłączanie narzędzi zabezpieczających, usuwanie kopii cieni, nietypowe przemieszczanie się w sieci, zrzuty LSASS itp.). Należy również monitorować nietypowe wykorzystanie narzędzi do kompresji plików.
  • Należy zwracać uwagę na narzędzia do zdalnego zarządzania (AnyDesk, RustDesk, Radmin), narzędzia do tworzenia tuneli (Ngrok, Cloudflare Tunnel) oraz taktyki kradzieży danych uwierzytelniających (Mimikatz, LaZagne). Jeśli ani Państwo, ani Państwa współpracownicy nie zainstalowali tych programów, może to być wczesnym sygnałem ataku oprogramowania wymuszającego okup.
  • Monitoruj wdrażanie podejrzanie podpisanych sterowników, takich jak rwdrv.sys (ThrottleStop), których Akira używa do ładowania złośliwych sterowników ( hlpdrv.sys ) oraz wyłączania oprogramowania chroniącego przed złośliwym oprogramowaniem. Akira może nadużywać podpisanych sterowników, a ataki te nazywane są atakami BYOVD (Bring Your Own Vulnerable Driver).
  • Należy uważać na masowe wyłączanie maszyn wirtualnych. Oprogramowanie wymuszające okup może je wyłączyć, aby rozpocząć kopiowanie plików i ich szyfrowanie.
  • Należy zwracać uwagę na nietypową aktywność plików oraz pliki przemianowane na rozszerzenia . akira , . akiranew lub podobne.
  • Należy skonfigurować alerty dotyczące kont i dostępu. Należy oznaczyć nowe lub ponownie wykryte „widmowe” konta utworzone przez atakujących, zwłaszcza jeśli są one ukryte przed ekranami logowania.
  • Wykrywaj anomalie w dostępie przez VPN/RDP, takie jak nietypowe logowania, nieudane próby uwierzytelnienia lub dostęp z nietypowych lokalizacji geograficznych.

Oprócz środków wykrywających należy wdrożyć strategie obronne przeciwko oprogramowaniu wymuszającemu okup Akira.

  • Skonfiguruj uwierzytelnianie wieloskładnikowe dla dostępu do VPN, RDP, narzędzi administracyjnych w sieci, e-maila itp. Stosuj silne hasła i solidną politykę bezpieczeństwa. Ustal limit nieudanych prób wprowadzenia hasła.
  • Ogranicz zewnętrzny dostęp do sieci VPN/RDP; stosuj geofencing i regularnie usuwaj nieaktywne dane uwierzytelniające/konta. Skonfiguruj zapory sieciowe i filtruj ruch sieciowy. Wyłącz nieużywane porty.
  • Regularnie instaluj aktualizacje na urządzeniach i systemach VPN, zwłaszcza tych, które są znanymi celami ataków Akira.
  • Wprowadź segmentację sieci i rozważ zastosowanie modelu bezpieczeństwa zero-trust. Segmentuj sieci, aby ograniczyć ruch boczny oprogramowania wymuszającego okup i zapobiec jego rozprzestrzenianiu się. W miarę możliwości stosuj zasadę minimalnych uprawnień, aby zapewnić dostęp wyłącznie do zadań niezbędnych.
  • Zainstaluj oprogramowanie antywirusowe (AV) z funkcją EDR/XDR, aby chronić komputery w sieci. Stosuj białą listę sterowników, aby zapobiec uruchamianiu podatnych na ataki, podpisanych sterowników. Zastosuj zabezpieczenia, takie jak „Moving Target Defense”, które blokują wykradanie danych uwierzytelniających, narzędzia do ataków lateralnych oraz oprogramowanie ransomware poprzez zmianę zachowania systemu.

Wprowadź niezawodną strategię tworzenia kopii zapasowych , która jest niezbędna dla ogólnej strategii ochrony danych.

  • Skonfiguruj regularne tworzenie kopii zapasowych . Upewnij się, że kopie zapasowe są zaszyfrowane, niezmienny i regularnie testowane pod kątem gotowości do odzyskiwania danych.
  • Postępuj zgodnie z Zasada wykonywania kopii zapasowej 3-2-1 . Posiadaj co najmniej 3 kopie danych, z czego 2 przechowywane na różnych nośnikach, a 1 zdalnie. Powinieneś również posiadać kopię zapasową w trybie offline, fizycznie odłączoną od sieci (air-gapped), do której oprogramowanie wymuszające okup nie ma dostępu.
  • Przeprowadzaj regularne szkolenia dla użytkowników : Naucz użytkowników, jak wykrywać podejrzane działania i co robić w przypadku zauważenia nietypowych zachowań. Użytkownicy muszą natychmiast odłączyć komputer w przypadku wystąpienia podejrzanych działań lub oznak infekcji oprogramowaniem wymuszającym okup oraz zgłosić problem administratorowi systemu.
  • Skonfiguruj monitorowanie infrastruktury . Monitoruj logi, nietypowe transfery plików, tworzenie kont administracyjnych oraz dziwne zachowania sieciowe za pomocą systemu SIEM lub narzędzi do monitorowania innych producentów.
  • Opracuj plan reagowania na ataki oprogramowania wymuszającego okup w ramach szerszych odzyskiwanie awaryjne i plan zapewnienia ciągłości działania . Opracuj i przetestuj plan reagowania na ataki oprogramowania wymuszającego okup plan reagowania na zdarzenia, określający jasne role i procedury.

Nie płacisz okupu w przypadku ataku oprogramowania wymuszającego okup. Organy (FBI, CISA i inne) odradzają płacenie okupu, ponieważ nie ma gwarancji, że odzyskasz swoje dane. Odzyskiwanie danych po ataku oprogramowania wymuszającego okup Akira zakłada usunięcie oprogramowania wymuszającego okup z zainfekowanych komputerów, a nawet ponowną instalację oprogramowania, przeprowadzenie audytu infrastruktury, załatanie wszystkich możliwych luk w zabezpieczeniach oraz przywrócenie danych z kopii zapasowej.

Należy korzystać z NAKIVO Backup & Replication do tworzenia kopii zapasowych i odzyskiwania danych. Rozwiązanie NAKIVO obsługuje tworzenie kopii zapasowych maszyn fizycznych, maszyn wirtualnych, instancji chmury Amazon EC2, Microsoft 365 oraz baz danych Oracle (za pośrednictwem RMAN). Dzięki szerokiej gamie opcji przechowywania kopii zapasowych można wdrożyć niezawodną strategię tworzenia kopii zapasowych. Szyfrowanie danych i niezmienność kopii zapasowej chronią dane przed nieautoryzowanym dostępem i modyfikacjami, umożliwiając odzyskanie plików w przypadku awarii lub ataku oprogramowania wymuszającego okup.

Wnioski

Oprogramowanie wymuszające okup Akira pozostaje poważnym zagrożeniem dla cyberbezpieczeństwa, wykorzystującym wyrafinowane taktyki do włamania się do sieci, szyfrowania danych i wyłudzania okupu od ofiar. Zrozumienie jego cyklu życia i metod wykrywania ma kluczowe znaczenie dla zbudowania silnej ochrony i zminimalizowania potencjalnych szkód. Niezawodne kopie zapasowe, narzędzia takie jak NAKIVO Backup & Replication oraz proaktywne monitorowanie mogą znacznie ograniczyć skutki ataku. Dzięki bieżącej wiedzy i odpowiedniemu przygotowaniu organizacje mogą wzmocnić swoją odporność na oprogramowanie wymuszające okup Akira.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

People also read