Omvangrijke cyberaanval door Akira treft wereldwijd meer dan 250 organisaties

De Akira-ransomwaregroep, die ongeveer een jaar actief is, heeft succesvol inbreuk gemaakt op de systemen van meer dan 250 organisaties wereldwijd en heeft naar schatting $42 miljoen aan losgeld opgeëist.

Dit is naar voren gekomen uit gezamenlijk onderzoek door belangrijke cyberbeveiligingsagentschappen, waaronder het Amerikaanse Federal Bureau of Investigation (FBI).

Focus ligt op entiteiten van kritieke infrastructuur

De Akira-ransomware richt zich sinds maart 2023 voornamelijk op bedrijven en entiteiten van kritieke infrastructuur in Noord-Amerika, Europa en Australië. Aanvankelijk lag de focus van de ransomware op Windows-systemen, maar recentelijk heeft de FBI ook een Linux-variant van Akira ontdekt.

In een gezamenlijk cybersecurityadvies van de FBI, het Cybersecurity and Infrastructure Security Agency (CISA), het European Cybercrime Centre (EC3) van Europol, en het Nederlandse Nationaal Cyber Security Centrum (NCSC-NL) wordt gewaarschuwd voor deze toenemende dreiging. De advisering, bedoeld om de dreiging bij de massa bekend te maken, onthult dat Akira toegang krijgt via virtuele particuliere netwerken (VPN’s) die niet beveiligd zijn met multifactor-authenticatie (MFA).

Systemen worden vergrendeld en losgeld wordt geëist

De aanvallers extraheren inloggegevens en andere gevoelige informatie alvorens de systemen te vergrendelen en een losgeldbrief te tonen. Het unieke aan Akira is dat er geen losgeldeis wordt achtergelaten tijdens de aanval; deze wordt pas bekend nadat het slachtoffer contact opneemt met de daders.

Betalingen worden geëist in Bitcoin, en de malware is ontworpen om beveiligingssoftware te omzeilen na initiële toegang. Het advies omvat aanbevelingen zoals het implementeren van MFA, het opstellen van een herstelplan, het filteren van netwerkverkeer, het uitschakelen van ongebruikte poorten, en het toepassen van systeembrede encryptie.

Beveiligingsprotocollen moeten regelmatig getest worden

De gezamenlijke instanties benadrukken het belang van het regelmatig testen van beveiligingsprotocollen op schaal in een productieomgeving, met gebruikmaking van MITRE ATT&CK-technieken om de effectiviteit te waarborgen. Eerdere waarschuwingen van de FBI, CISA, NCSC en de Amerikaanse National Security Agency (NSA) wijzen ook op aanvallen op crypto-wallets en -beurzen, waarbij specifiek data van grote spelers zoals Binance, Coinbase en Trust Wallet werd getarget.

Het rapport benadrukt de ernst van de situatie en roept organisaties op om hun cyberverdediging te versterken tegen dergelijke geavanceerde dreigingen.