הכופרה אקירה פגעה ב-250 ארגונים וההאקרים הרוויחו 42 מיליון דולר

קבוצת הכופרות אקירה (Akira) התפרנסה היטב בתקופה שבין מרץ 2023 לינואר השנה, ושלשלה לכיסיה דמי כופר בסך של כ-42 מיליון דולר – כך לפי הודעה משותפת שפרסמו לפני ימים אחדים היורופול וסוכנויות ממשלתיות בארצות הברית ובהולנד.

את ההודעה פרסמו הבולשת של ארצות הברית (FBI), הסוכנות האמריקנית לאבטחת סייבר ותשתיות (CISA), המרכז לפשעי סייבר של היורופול (EC3) ומרכז אבטחת הסייבר הלאומי של הולנד (NCSC-NL). החוקרים מעריכים ששחקן הכופרה כשירות (RaaS) פגע בתקופה המדוברת ביותר מ-250 ארגונים, כולל של תשתיות קריטיות – בצפון אמריקה, אירופה ואוסטרליה.

אקירה היא קבוצת פושעי סייבר חדשה יחסית, שככל הנראה החלה לפעול ברבעון הראשון של 2023. בדו"ח פשעי האינטרנט של ה-FBI ל-2023 נמצא שאקירה הייתה גרסת הכופרה השלישית הנפוצה ביותר שהשפיעה על תשתית קריטית בשנה זו – אחרי LockBit ו-ALPHV/BlackCat.

דרכי הפעולה של הקבוצה

לפי גופי האכיפה, שחקני האיומים מאקירה התמקדו בתחילה במערכות Windows, אך באפריל אשתקד פיתחו כופרה עם גרסת לינוקס, שמכוונת למכונות וירטואליות של VMware.

טכניקות גישה ראשוניות שבהן השתמשו ההאקרים כוללות: שימוש בפגיעויות ידועות של סיסקו, כדי לגשת לארגונים דרך VPN בלא אימות רב גורמי (MFA); בניית יכולות לשליטה ופגיעה מרחוק על בסיס RDP (ר"ת Remote Desktop Protocol); מתקפות דיוג חנית (Spear phishing); וכן גניבה או ניצול של אישורי גישה.

לאחר שההאקרים השיגו גישה ראשונית למערכות הקורבן, הם יצרו חשבונות דומיין חדשים, כדי לבסס את יכולות ההתמדה שלהם, ובנוסף נצפו ממנפים טכניקות תקיפה של "היום שאחרי", כגון Kerberoasting – ניסיונות להרחבת ההיקף של אישורי הגישה, ושימוש בכלי סריקה לטובת שוטטות בסביבת ה-IT של הקורבן.

כדי להגדיל את סיכויי ההצלחה של המתקפה, כמה משחקני האיום של אקירה נצפו כשהם פורסים, באותה המתקפה, שתי גרסאות שונות של הכופרה, שיופעלו נגד ארכיטקטורות מערכת שונות. עוד הם נראו משביתים, בדרך כלל, את תוכנת האבטחה של הקורבנות כדי להימנע מזיהוי.

לפי ההודעה, שחקני אקירה משתמשים על פי רוב במודל "סחיטה כפולה", שלפיו נערכת הצפנה למערכות – לאחר קצירת הנתונים. מודל זה מאפשר להם להפעיל לחץ נוסף על הקורבנות – עם איום לפרסם נתונים מסווגים או רגישים עסקית ברשת Tor. כמו במקרים רבים של האקינג, הדרישה לתשלום של מפעילי אקירה היא במטבעות קריפטוגרפיים.

זהות חברי הקבוצה לא הובררה עד תום, אף שמעריכים שמדובר בכנופייה רוסית. מומחים מעריכים שיש דמיון, או זהות חלקית, בינם לבין חברי כנופיית קונטי. אפשרות אחרת היא שאקירה הוקמה על ידי חלק מחברי קונטי, בעקבות סכסוך על אופן חלוקת השלל הכספי.