Шифрование обошлось в $244 млн: VPN-сети превращаются в лёгкую добычу для хакеров

Свежий аналитический отчёт показал, насколько быстро злоумышленники способны отключать защитные EDR-системы — иногда на это уходят считанные минуты.

Активность группировки Akira остаётся одной из ключевых причин беспокойства для специалистов в США и Европе. На этой неделе международные расследовательские структуры выпустили обновлённый набор рекомендаций для организаций, столкнувшихся с деятельностью этой вымогательской операции. В документ вошли новые техники, наблюдавшиеся с 2023 года, а также перечень слабых мест, которые преступники используют для входа в корпоративные сети. Рекомендации стали продолжением апрельского предупреждения 2024 года и представляют собой наиболее детализированное описание тактики группы за последнее время.

По данным отчёта, к концу сентября сумма, которую Akira получила через атаки с шифрованием, превысила 244 млн долларов. При этом анализ подчёркивает, что последствия их работы выходят далеко за рамки финансовых потерь: атаки приводят к срывам операций больниц, образовательных организаций, предприятий и технологических компаний. Представители ФБР отмечают, что каждая взломанная система влияет на сотрудников и сообщества, которые вынуждены восстанавливаться после остановок инфраструктуры.

В подготовке предупреждения участвовали несколько ведомств — ФБР, Министерство обороны США, Министерство здравоохранения, Европол и правоохранительные органы Франции, Германии и Нидерландов. Впервые в отдельном разделе были перечислены отрасли, которые чаще всего становятся жертвами Akira: производственный сектор, школы и университеты, ИТ-подрядчики и медицинские учреждения. Исследователи объясняют этот выбор тем, что средние по масштабу организации часто имеют разветвлённый удалённый доступ и используют уязвимые или неправильно настроенные VPN-решения.

Отчёт указывает, что первичный доступ группы нередко осуществляется через VPN: преступники применяют похищенные учётные данные, эксплуатируют уязвимости (включая CVE-2024-40766), либо приобретают доступ у посредников. Нередки случаи перебора паролей для VPN-шлюзов или массовых попыток авторизации слабых комбинаций паролей через SharpDomainSpray, что позволяет злоумышленникам захватывать рабочие аккаунты. Отмечается, что Akira комбинирует методы в зависимости от настроек конкретной организации и уровня защищённости её аутентификационных систем.

Согласно рекомендациям, преступники активно используют средства удалённого администрирования — AnyDesk, LogMeIn и другие — чтобы закрепиться в инфраструктуре и маскироваться под администраторов. Отдельные расследования зафиксировали преднамеренное удаление EDR-решений, что позволяло злоумышленникам скрывать свою активность. ФБР сообщает, что в ряде эпизодов похищение данных происходило менее чем через два часа после первичного проникновения. Это говорит о высокой автоматизации их процессов и наличии заранее подготовленных инструментов для быстрого перемещения по сети.

В документ включён специальный раздел для образовательных учреждений. Им рекомендовано ужесточить контроль VPN-подключений, регулярно обновлять пароли, а также проводить ревизию систем удалённого управления, которые часто используются Akira в качестве каналов для lateral movement. Подчёркивается, что школы и университеты остаются частой целью — в них обычно работают множество распределённых систем, что усложняет их защиту.

Авторы отчёта также коснулись возможной связи Akira с уже не существующей группой Conti. Сходства прослеживаются в кодовой базе их инструментов, транзакциях на криптовалютные кошельки и частичном совпадении состава исполнителей. Однако прямых доказательств того, что Akira имеет отношение к государственным структурам, нет. Отмечается, что группа функционирует как децентрализованная сеть участников, которые работают по партнёрской модели и могут находиться в разных странах.

В числе примеров недавних атак приводится инцидент у поставщика радиооборудования для оборонного сектора США — BK Technologies. Компания сообщила инвесторам, что злоумышленники получили доступ к части внутренней информации, включая данные сотрудников. Akira также причастна к взломам Стэнфордского университета, зоопарка Торонто, одного из крупных южноафриканских банков, брокерской компании London Capital Group и других организаций, которые стали жертвами сложных цепочек атак.