「Akira」勒索軟體威脅:必讀指南

Akira 勒索軟體已迅速成為近年來最具破壞性的網路威脅之一,其攻擊目標遍及多個產業的組織。根據美國網路安全與基礎設施安全局(CISA)的研究,在 2023 年 3 月至 2024 年 1 月期間,Akira 勒索軟體集團攻擊了超過 250 家組織,並索取總計 4,200 萬美元的贖金。

無論規模大小,企業都必須了解這種勒索軟體的運作方式,才能強化防禦並將風險降至最低。請閱讀這篇文章,了解 Akira 勒索軟體的威脅、其生命週期,以及防範未來攻擊的實用策略。

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

了解"Akira"勒索軟體的威脅

Akira 勒索軟體是一種採用"雙重勒索"模式的危險勒索軟體。它會在加密檔案之前先竊取敏感資料,並威脅若不支付贖金便會洩露這些資料。此款勒索軟體於 2023 年 3 月現身,並支援透過以下方式進行傳播: "勒索軟體即服務" 型號.

據報導,受影響的機構數量正在增加,其中包含各國(特別是北美、歐洲和澳洲)的知名組織。Akira 勒索軟體的受害者名單中,還涵蓋了來自不同產業(教育、金融、製造、房地產、法律、醫療保健、關鍵基礎設施,以及市政/政府服務)的企業。

Akira 典型的現代勒索軟體攻擊活動具有高度針對性、技術上極為精巧,且以牟利為目的。這些因素結合了隱蔽的滲透手段與對企業造成的毀滅性影響。

除了 Windows 電腦外,Akira 正全力鎖定 ESXi 主機發動攻擊,藉此干擾虛擬機器的運作,並透過加密資料來摧毀這些虛擬機器。此策略使勒索軟體造成極其嚴重的破壞,並使那些使用虛擬基礎架構進行業務運作的組織陷入癱瘓。2024 年的攻擊中,約有 50% 是利用多個漏洞針對 VMware ESXi 發動的。

最初,Akira 是使用 C++ 開發的,尤其是 Windows 版本;IBM X-Force 於 2023 年 12 月發現了一個以 C++ 編譯的樣本。Akira_v2 版本則採用 Rust 編寫,不僅增強了功能性,也提升了對分析的抗性。該惡意軟體同時存在 Windows 和 Linux 兩個變體,並針對各自的平台進行了優化(分別採用 CryptoAPI 與 Crypto++)。

Akira 勒索軟體攻擊生命週期:逐步解析

為了防範 Akira 勒索軟體的攻擊,您應了解此勒索軟體在網路攻擊各階段的運作方式。如此一來,您便能採取預防措施來保護資料。

步驟 1 — 透過遠端存取點進行初始存取

Akira 勒索軟體攻擊者通常會透過遠端入口點,利用暴露在外或安全防護不足的服務來取得初始存取權限。此策略使他們無需實體接觸目標網路,即可存取該網路。

利用存在安全漏洞的 VPN 和 RDP 服務

攻擊者通常會利用熱門的虛擬私人網路(VPN)產品(閘道器)以及採用遠端桌面協定(RDP)的遠端存取軟體中所存在的零日漏洞和未修補的漏洞,來入侵受害者的網路。

Akira 所使用之產品與漏洞的範例:

  • Cisco ASA / FTD — 例如 CVE-2023-20269,這是 VPN 驗證流程中的一項權限提升漏洞。
  • SonicWall 安全行動存取(SMA)裝置——尤其是當這些裝置未安裝修補程式或未啟用多因素驗證(MFA)時。
  • Fortinet FortiGate SSL VPN 漏洞——包括 CVE-2018-13379 等舊有漏洞,這些漏洞在已停止維護的裝置上仍被利用。

未經授權存取受害者網路的戰術包含以下要素:

  • 掃描網際網路,尋找運行過時韌體的裝置。
  • 利用此漏洞可繞過身份驗證或執行程式碼。
  • 利用竊取的會話憑證或儲存在記憶體中的明文憑證。Akira 勒索軟體攻擊者可對 LSASS 程序(本機安全性授權子系統服務)的記憶體進行迷你轉儲,以收集更多憑證。
  • 針對安全性較低的帳戶進行直接暴力破解。
  • 利用來自暗網市場的洩露憑證。
  • 利用 RDP 閘道漏洞或過時的 Windows 遠端桌面服務。

在某些事件中,Akira 勒索軟體集團使用了:

  • AnyDesk、TeamViewer 或 VNC,且密碼強度不足或重複使用。
  • 當 MSP 帳戶遭到入侵時,便會使用 MSP RMM 工具(遠端監控與管理)。
  • 基於雲端的行政管理主控台(Microsoft 365、AWS),用於在網路內部部署腳本。

註: 微軟已實作 強制性的多因素驗證 以降低 Microsoft 365 管理員面臨的此項風險。

遭洩露的憑證

攻擊者通常會利用先前攻擊中竊取的憑證。正因如此,使用獨一無二的憑證並遵守安全規範至關重要。此方法讓 Akira 勒索軟體攻擊者無需利用漏洞,即可存取受害者的網路。因此,當攻擊者存取網路時,在不突破其他安全措施的情況下,會顯得如同合法使用者一般。

為了取得憑證,攻擊者也會使用傳統手法,包括:

  • 網路釣魚與 針對性釣魚email 用來攔截 VPN 使用者名稱和密碼的。
  • 遠端使用者個人裝置上的鍵盤記錄程式/資訊竊取程式(例如 RedLine Stealer)。

漏洞遭到利用:

  • VPN 和 email 登入時未啟用多因素驗證(MFA)。
  • 容易被暴力破解的弱密碼。
  • 多因素認證(MFA)疲勞攻擊(反覆提示使用者登入,直到使用者接受為止)。

若未能找到相符的憑證,網路犯罪分子可能會使用暴力破解攻擊。此類攻擊通常以 RDP 和 SSH 服務為目標,若使用者採用廣為人知或弱密碼,攻擊便可能得逞。

Akira 勒索軟體的典型遠端存取鏈如下所示:

網路掃描 → 識別暴露的服務 → 利用 VPN 或竊取憑證 → 向遠端服務進行身份驗證 → 植入偵察與憑證蒐集工具 → 橫向移動

步驟 2 — 持久化與權限提升

透過結合正當的管理工具、設定錯誤及自訂腳本,Akira 勒索軟體得以維持長期存取權限,並以完整系統權限運作。所謂"持久性",意指即使在遭到偵測或重新開機後,仍能持續存在於受害者的環境中。攻擊者進入網路後,會運用各種技術確保其行動不被察覺,藉此維持持久性,包括建立新帳戶及提升權限。

建立新帳號

當感染 Windows 系統時,Akira 勒索軟體會新增本機 Windows 管理員或網域管理員帳戶,以維持持續存取權限。有時,它會使用通用名稱來偽裝自己(管理員, 服務台). 在 Active Directory 環境中,Akira 會建立具有委派權限的隱藏帳戶。若已啟用多因素驗證 (MFA),攻擊者有時可從瀏覽器竊取活躍的連線憑證或 Cookie 值,藉此繞過重新驗證程序。

設定排程任務與服務

Akira 勒索軟體會建立排程任務,在系統啟動時執行惡意腳本或反向殼層。接著,該勒索軟體會修改服務以啟動其工具,並將惡意服務重新命名,使其看起來像是合法的作業系統 (OS) 服務。

安裝遠端存取工具

Akira 勒索軟體會部署 AnyDesk、TeamViewer 或 RMM 代理程式,以便即使 VPN 憑證遭撤銷,仍能維持存取權限。它會將這些程式設定為自動啟動,並隱藏於工作列之外。在 Windows 系統中,是透過修改啟動項目和登錄檔鍵來編輯登錄檔設定。Akira 會變更以下項目:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

這些技術可確保載荷在重新啟動時重新載入。

執行完這些操作後,Akira 勒索軟體會清除系統日誌,以刪除可能揭露其活動的紀錄。這些手段使得偵測攻擊變得更加困難。透過"持久性"機制,Akira 即使在經過"清理"嘗試後仍能重新出現,隨時間推移逐步竊取資料以進行雙重勒索,並僅在取得完整網路控制權後,才會部署最終的勒索軟體有效載荷。

權限提升

透過權限提升,Akira 得以從一般使用者權限轉變為系統層級或網域層級的控制權。Akira 勒索軟體可利用針對未修補 Windows 漏洞(例如 CVE-2021-34527 PrintNightmare)的公開攻擊程式,來利用本地權限提升漏洞。它還會鎖定核心層級的漏洞,以取得 SYSTEM 權限。

憑證洩漏包括洩漏 Windows 快取憑證、網域管理員雜湊值及 LSA 機密。一旦網域管理員憑證遭竊,即可完全掌控 Active Directory。Akira 會利用竊取的 NTLM 雜湊值或 Kerberos 票證,在無需知曉明文密碼的情況下冒充具特權的使用者。透過權限提升,Akira 勒索軟體在進行加密時能造成最大影響,因為它能存取備份、影子副本及敏感伺服器,進而關閉整個網域的防禦機制。

步驟 3 — 橫向移動與偵察

Akira 勒索軟體的營運者會系統性地進行橫向移動與偵察。雖然大多數勒索軟體採用"發射後即忘"的作法,但 Akira 的運作模式更類似於由人主導的高級入侵行動。它甚至能夠停用某些安全防護軟體。

一旦滲透進系統,攻擊者的目標是識別高價值的資料與系統,藉此對目標組織造成進一步損害。下一階段則是先在網路中擴展存取權限,然後才進行加密。因此,在進行橫向移動之前,Akira 必須先了解網路中存在哪些資源,以及高價值目標位於何處。

網路掃描是偵察的第一步。透過繪製網路地圖,勒索軟體得以鎖定其初始攻擊的目標。內建工具例如 ping, arp -a, 和 netstat 用於尋找活躍的主機。其他掃描工具,例如 進階 IP 掃描器nmap, 可映射子網。PowerShell 腳本會查詢 Active Directory 以取得網域結構、群組成員資格、組織單位 (OU) 層級結構以及管理員帳戶的位置。

接著,Akira 勒索軟體會識別關鍵資產。其攻擊目標包括檔案伺服器、網域控制器、NAS設備及資料庫伺服器。該軟體會搜尋備份基礎架構,以便日後將其停用或加密,並搜尋共用磁碟機及雲端同步資料夾。

即使服務已被停用,Akira 仍可讓使用者遠端存取這些服務:

  • RDP(遠端桌面協定)——若該功能已停用,通常需透過 GPO(群組原則物件)啟用它。
  • SMB (伺服器訊息區塊) — 用於在主機之間複製工具和有效載荷。
  • WMI(Windows 管理儀表板)——用於遠端執行指令,同時不會觸發 RDP 日誌。

Akira 利用竊取的 NTLM 雜湊值或 Kerberos 票證,在無需知曉密碼的情況下於其他系統進行身分驗證。透過擷取憑證,可利用竊取的管理員權限停用防毒軟體/EDR 代理程式。

此勒索軟體使用以下合法工具:

  • PsExec (來自 Sysinternals)用於在遠端系統上執行指令。
  • PowerShell 遠端執行 在不將有效載荷寫入磁碟的情況下執行有效載荷。
  • 網路使用量 用於掛載遠端檔案分享並竊取檔案。

Akira 可以利用環境中已部署的 MSP RMM 工具(例如 ConnectWise、AnyDesk 等),在不觸發警報的情況下轉向其他機器。託管服務供應商應保持警惕並解決此問題 MSP 面臨的網路安全挑戰 以保護自身及客戶的資料。

勒索軟體工具與有效載荷會被複製到其他電腦上,以準備進行下一階段的攻擊。 

透過偵察與橫向移動,勒索軟體能同時鎖定盡可能多的電腦,從而將加密造成的影響最大化。因此,它不僅能存取敏感資料以進行雙重勒索(資料竊取+加密),還能破壞備份,迫使受害者支付贖金。

步驟 4 — 資料外洩

Akira 勒索軟體通常會先收集並壓縮敏感資料,以便於傳輸和混淆。常用的工具包括 WinRAR 將檔案壓縮成壓縮檔(RAR 格式)。攻擊者也可能利用 FileZilla, WinSCPrclone 用於封裝和傳輸竊取的資料。這些工具均屬合法(受信任且已列入白名單),不像某些自製工具那樣引人懷疑。在某些攻擊中,資料會直接上傳至攻擊者所設定的 MEGA 雲端共享儲存空間。

有人利用 Chrome 網頁瀏覽器竊取了 WinRAR 壓縮檔(Chrome.exe),將壓縮檔案傳送至外部 IP 範圍,使其看似合法流量。Akira 利用各種工具洩漏資料,以使此過程快速且有效。在一次 Akira 勒索軟體攻擊中,攻擊者使用 WinRAR 壓縮了 34 GB 的資料,並將其傳送至外部資源。在侵入該組織網路後,他們約花了兩小時便完成了這次攻擊。

第 5 步 — 加密與營運中斷

Akira 採用混合加密模型。此勒索軟體首先使用快速的對稱加密演算法(ChaCha20 或 KCipher-2)對資料進行加密,接著透過硬編碼的 RSA 公鑰(通常為 RSA-4096)來保護對稱金鑰。 每個受影響的檔案末尾都會附加該對稱金鑰,並使用內嵌的 RSA 金鑰進行加密。Akira 可能會以區塊為單位而非整檔進行部分加密,藉此加快加密速度並同時最大化損害。例如,小型檔案(MB)可能僅加密 50%,而較大的檔案則會被分割成多個壓縮區塊以進行選擇性加密。

經加密的檔案會被賦予副檔名".akira” (以及其他類似的……功率範圍 或 .akiranew (在較新的變種中)。勒索軟體會刻意排除對系統至關重要的檔案和資料夾,例如 .exe, .dll, 系統資料夾, 資源回收筒Windows 資料夾,以維持系統穩定性,直至操作完成為止。Akira 透過 PowerShell(或 WMI)刪除所有 Windows 卷影副本,藉此發動攻擊,從而有效使受害者的還原選項失效。

Akira 勒索軟體對以下對象特別具有攻擊性: VMware ESXi 虛擬化管理程式。它能夠加密整個主機,藉此在單次攻擊中癱瘓多台虛擬機器、停用安全服務、中止虛擬機器運作,並篡改 ESXi 憑證以將管理員鎖在系統之外。

加密完成後,Akira 勒索軟體會在每個受影響的目錄中留下勒索訊息,通常命名為 akira_readme.txtfn.txt. 這些檔案包含一個唯一的受害者代碼以及一個基於 TOR 的協商連結,威脅將資料發布並索取以比特幣支付的贖金。

攻擊 ESXi 主機

雖然 Windows 系統是發動攻擊並透過網路擴散以感染其他電腦的主要目標,但 ESXi 主機也是常見的攻擊目標。讓我們來探討 Akira 勒索軟體是如何攻擊 ESXi 主機的。

  • 在存取網路後,攻擊者發現這些 ESXi 主機已連線至 vCenter,或可透過 SSH 直接存取。
  • Akira 勒索軟體可利用 vCenter/ESXi 的易受攻擊版本。若未安裝修補程式,駭客可能會利用 CVE-2021-21972、CVE-2021-21985 及 CVE-2020-3992 等已知漏洞。
  • 一旦攻擊者透過 SSH(通常為管理目的而在主機上啟用)存取 ESXi,他們便會直接在主機上上傳並執行 Akira Linux ELF 加密程式。此勒索軟體會停用 ESXi 的安全服務。
  • 該勒索軟體會將資料存放區掛載至另一台系統,或使用內建工具(vmkfstools, scp) 複製 .vmdk 以及 .vmx 用來竊取虛擬機器資料的檔案。
  • 一旦資料遭竊,Akira 會使用以下指令關閉虛擬機器:

vim-cmd vmsvc/getallvms

vim-cmd vmsvc/power.off

並像在 Linux 中那樣,使用加密器對資料存放區中的檔案進行加密。

如何偵測並防禦 Akira 勒索軟體

檢測策略 這些是至關重要的預防措施,需要採取綜合性的方法,並應包含多項行動。

  • 終端與網路行為監控。使用 EDR/XDR 系統(終端偵測與回應/擴展偵測與回應)來偵測可疑行為(停用資安工具、刪除影子副本、異常的橫向移動、LSASS 轉儲等)。此外,亦需監控檔案壓縮工具的異常使用情況。
  • 請留意遠端管理工具(AnyDesk、RustDesk、Radmin)、隧道工具(Ngrok、Cloudflare Tunnel)或竊取憑證的手法(Mimikatz、LaZagne)。若您或您的同事並未安裝這些程式,這可能是遭受勒索軟體攻擊的早期徵兆。
  • 監控可疑簽署驅動程式的部署,例如 rwdrv.sys (ThrottleStop),Akira 利用此工具載入惡意驅動程式 (hlpdrv.sys) 並停用惡意軟體防護軟體。Akira 可以濫用已簽署的驅動程式,此類攻擊被稱為 BYOVD 攻擊(Bring Your Own Vulnerable Driver,即"自帶易受攻擊的驅動程式")。
  • 請留意虛擬機器的大規模關機。勒索軟體可能會關閉這些虛擬機器,以便開始複製檔案並對其進行加密。
  • 請留意異常的檔案活動,以及被重新命名為 . 的檔案。akira, .akiranew 或相關擴充功能。
  • 設定帳戶與存取警示。標記由攻擊者建立的新帳戶或重新發現的"幽靈"帳戶,尤其是那些在登入畫面中被隱藏的帳戶。
  • 偵測 VPN/RDP 存取中的異常情況,例如不尋常的登入、認證失敗的嘗試,或來自異常地理位置的存取。

除了檢測措施之外,您還應實施 防禦策略 防範 Akira 勒索軟體。

  • 設定多因素驗證,以便存取 VPN、RDP、網頁管理工具、email 等。請使用強密碼並遵循完善的安全政策。設定密碼輸入錯誤的次數上限。
  • 限制外部 VPN/RDP 存取;採用地理圍欄技術,並定期刪除閒置的憑證/帳戶。設定防火牆並過濾網路流量。停用未使用之埠號。
  • 請定期為 VPN 裝置和系統安裝修補程式,尤其是那些已知是 Akira 攻擊目標的裝置和系統。
  • 實施網路分段,並考慮採用零信任安全架構。透過網路分段來限制勒索軟體的橫向移動,並防止其擴散。盡可能採用最小權限原則,僅針對必要任務授予存取權限。
  • 安裝具備 EDR/XDR 功能的防毒軟體(AV),以保護網路中的電腦。採用驅動程式白名單機制,防止存在安全漏洞的已簽署驅動程式執行。新增諸如"移動目標防禦"(Moving Target Defense)等防護措施,透過變形系統行為來阻擋憑證擷取、橫向移動工具及勒索軟體。

實作一個可靠的 備份策略 這是整體資料保護策略所必需的。

  • 設定定期備份. 確保備份已 已加密, 不可變的 並定期進行測試,以確認其是否具備還原運作的準備。
  • 請按照 3-2-1 備份規則. 請備有至少 3 份資料副本,其中 2 份儲存於不同儲存媒體上,另 1 份則存放於異地。此外,您還應備有離線且空間隔離的備份,以確保勒索軟體無法存取。
  • 定期舉辦使用者培訓: 應指導使用者如何偵測可疑活動,以及在發現異常行為時應採取的措施。若出現可疑活動或勒索軟體感染的跡象,使用者必須立即斷開電腦連線,並向系統管理員通報此問題。
  • 設定 基礎設施監控. 透過 SIEM 或第三方監控工具,監控日誌、異常的檔案傳輸、管理員帳戶的建立以及可疑的網路行為。
  • 制定勒索軟體應對計畫 作為更廣泛的 災難還原業務連續性計畫s. 開發並測試一款專門針對勒索軟體的 事件應變計畫,並明確界定各方的職責與程序。

若遭遇勒索軟體攻擊,請勿支付贖金。相關主管機關(如聯邦調查局、美國網路安全與基礎設施安全局等)均建議不要支付贖金,因為無法保證您能取回資料。Akira 勒索軟體的還原作業,通常包含從受感染的電腦中移除勒索軟體,甚至重新安裝軟體、進行基礎架構稽核、修補所有可能的漏洞,以及從備份中還原資料。

使用 NAKIVO Backup & Replication 用於資料備份與還原。NAKIVO 解決方案支援實體機器、虛擬機器、Amazon EC2 雲端執行個體、Microsoft 365 以及 Oracle 資料庫(透過 RMAN)的備份。憑藉多種備份儲存選項,您可以實施可靠的備份策略。資料加密與備份不可變動備份儲存可保護資料免受未經授權的存取與修改,讓您在發生災難或遭遇勒索軟體攻擊時,仍能成功還原檔案。

結論

Akira 勒索軟體仍是網路安全的一大威脅,它運用複雜的手段入侵網路、加密資料並向受害者勒索。了解其生命週期與偵測方法,對於建立堅實的防禦機制並將潛在損害降至最低至關重要。可靠的備份,以及諸如 NAKIVO Backup & Replication 此外,主動監控可大幅降低攻擊造成的影響。透過隨時掌握最新資訊並做好準備,組織便能增強其韌性,以抵禦 Akira 勒索軟體。

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

People also read