前言

    在2023年2月和2023年9月正式制裁了多名Conti/TrickBot成员，正式确认他们是俄罗斯的威胁行为者。Akira的勒索软件活动于2023年3月出现，本文重点关注Akira与Conti的关系，并且Akira对公民社会和关键基础设施的威胁正在迅速增长。

Akira的背景

    首先，Akira勒索软件的运营者是出于经济动机的网络犯罪分子。他们这样做是为了钱，并且在2023年已经赚了很多，但具体赚了多少还不清楚。但媒体报道称，从2023年3月到2023年7月，该组织已经勒索了至少 63 名受害者，相当于每周遭受Akira勒索软件攻击的组织大约有4个。从BleepingComputer看到的谈判情况来看，勒索软件团伙索要的赎金从20万美元到数百万美元不等。

该组织进行通常的双重勒索活动，如果不支付赎金，受害者的文件将被加密，信息数据将被窃取并发布到他们的Tor数据泄露站点(DLS)。私人网络安全供应商将Akira勒索软件运营商追踪命名为Punk Spider(CrowdStrike) 和 Gold Sahara (Secureworks)。

除了与Conti相似之外，Akira勒索软件运营商还可能与其他勒索软件运营机构有关联，包括Snatch和BlackByte。2023年8月，研究人员发现Akira使用的开放工具目录也可能被Snatch勒索软件的威胁行为者使用。2023年7月，媒体报道称，雅马哈的加拿大音乐部门已在Akira DLS上列出，这是在他们于2023年6月在BlackByte的DLS上列出之后。Akira与其他勒索软件团伙之间的关联表明，部署Akira的人可能与多个勒索软件人员合作，正如微软发现的那样，分支机构中通常存在这种情况。

Akira的受害者遍布世界各地，但大多数出现在Tor DLS上的受害者都来自北美。Akira攻击影响了广泛的行业，如教育、金融服务、制造业、专业服务和医疗保健等。大多数受害者都是具有一些知名品牌的企业(如雅马哈)。

能力和基础设施

    Akira勒索软件家族有多个版本，可以部署在Windows域和Hyper-V虚拟基础设施，以及带有Linux虚拟机(vm)的VMware ESXi管理程序中。Akira的第一个版本是用c++编写的，并在文件中添加了".akira"扩展名的文件，并删除了一个名为"akira_readme.txt"的勒索信息，该信息至少部分基于Conti的V2源代码。恶意软件分析人员于2023年6月29日发布Akira的解密器，然而，一个新版本在2023年7月2日发布，修补了解密漏洞。从那以后，在2023年8月下旬，出现了用Rust开发的Akira的新改版。这次它被命名为"megazord.exe"并附加了".powerranges"加密文件的扩展名。

Akira使用最常见的初始访问手段似乎是通过对仅具有单因素身份验证的Cisco VPN设备进行暴力破解。与Snatch有关的Akira运营商还被发现利用CVE-2019-6693和CVE-2022-40684攻击的Fortinet设备进行初始访问。事件响应人员还表示，运营商可能会购买来自网络犯罪市场的VPN凭据由信息窃取恶意软件僵尸网络推动，它们也可能从初始访问代理 (IAB)获取，例如控制Bumblebee恶意软件的EXOTIC LILY。

通过从Akira的大量威胁报告中提取工具和情报技术，运营商一次又一次地利用相同的工具库，但可能会根据环境替换一些工具。 这些可以分为以下几类:

• 信息收集: Masscan、ReconFTW

• 内网收集: PCHunter64、Advanced IP Scanner、LANsweeper、SharpHound、AdFind、SoftPerfect NetScan、Windows Nltest

• 凭据获取: Minidump、Mimikatz、LaZagne、DonPAPI

• 持久化: RMM工具(AnyDesk、RustDesk、Radmin、ScreenConnect，以及关闭防火墙后开启RDP、PuTTy)、SystemBCRAT

• 规避防御: Terminator.exe和ToolPow禁用EDR工具，以及禁用LSA保护和Windows Defender的批量脚本

• 横向移动: Impacket(wmiexec.py、atexec.py)、RDP、SSH

• 收集: 从Microsoft SharePoint搜索和下载文件

• 解压: 压缩工具(7zip、WinRAR等)、Rclone、FileZilla、WinSCP等

• 命令和控制: Cloudflare Tunnel (Cloudflare)， MobaXterm和Ngrok

• Impacket: Akira勒索软件，通常通过PsExec启动

当勒索软件部署完毕，数据被窃取后，Akira开始谈判。这包括要求受害者访问Akira的绿色MS-DOS风格的Tor协商网站:

(akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id[.]onion)

如果受害者拒绝支付赎金，他们就会被列入:

(akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad[.]onion)

Akira 的谈判站点(左)和数据泄露站点(右)

最后，关于Akira的DLS需要注意的是，它实际上并不像其他勒索软件Tor DLS那样托管被盗数据。这个组织已经决定使用磁铁链接，需要torrent软件下载和查看被盗数据。这是其他勒索软件组织所遵循的趋势，例如CL0P在2023年早些时候对MOVEit进行了攻击。

Akira的DLS上发布带有磁力链接的帖子

Akira和Conti的相似之处

    现在，让我们把所有的证据都摆出来，看看Conti和Akira之间的相似之处和重叠之处。主要值得注意的环节如下:

• 首先，Conti和Akira都是双重勒索勒索软件组织，而Akira是在Conti关闭Tor DLS近一年后出现的。Akira的许多受害者与Conti的受害者类型相同，主要是北美企业。此外，与Conti非常相似，Akira勒索软件的一些版本可以针对Windows域或带有Linux虚拟机的VMware ESXi管理程序。

• 恶意软件分析师已经注意到Conti和Akira勒索软件之间的几个代码相似之处，例如文件类型和目录排除列表，文件尾部的结构，ChaCha 2008的实现以及密钥生成代码。

• Akira和他们的受害者之间的谈判谈话的例子也被公开。这些日志显示，Akira的操作人员使用脚本开始谈判，就像Conti所做的那样，展示了他们在竞选风格和如何开展行动方面的行为相似性。

• 2021年8月，一名心怀不满的Conti成员泄露了该团伙发动攻击的策略模板。Conti设计这个策略是为了扩大行动规模，更频繁地发动勒索软件攻击，为他们赚更多的钱。Akira的竞选活动遵循了一套与Conti的剧本非常相似的ttp。Akira操作人员使用的工具包括:Minidump、Mimikatz、AdFind、PChunter、PsExec、NetScan、Windows nltest、PuTTy、WinSCP、FileZilla和AnyDesk。

• Akira利用的恶意软件也经常被Conti/Ryuk运营商利用。SystemBC crimeware RAT已被Conti和Ryuk运营商使用。微软还强调，他们跟踪的一个特定运营商是DEV-0237在Conti活动期间从Cobalt Strike转移到SystemBC。据报道，为Akira提供访问权限的Bumblebee loader和EXOTIC LILY也与Conti活动密切相关。

• 事件响应人员对Akira比特币交易的区块链分析还显示，至少有三次，Akira运营商将赎金资金发送到与已知Conti钱包相关的地址。这些交易金额都超过60万美元。

根据收集到的有关Akira的证据，评估Akira勒索软件背后的操作者与Conti有高度的关联。在多个层次上有许多关联，包括技术和行为关联。

最有说服力的关联之一可以说是Akira和已知Conti钱包之间的比特币交易。由于缺乏区块链混淆技术，例如使用混合服务或跳链，因此调查人员可以轻松地追踪Akira的赎金支付，最终可以高度自信地追溯到Conti。

即使没有这些比特币交易作为确凿证据，Akira和Conti的TTP之间也有明显的相似之处。然而，由于Conti勒索软件的源代码被泄露以及策略被泄露，一些威胁行为者有可能模仿Conti的成功。但Akira将资金汇回Conti的事实确实表明，他们几乎肯定是在与Conti前成员(受到制裁)合作。