Akira och RaaS (Ransomware as a Service)

Vilka och vad är Akira?

Akira är en hackergrupp med kopplingar till Ryssland som för allmänheten blev känd först i mars 2023. Akira bedriver cyberkriminalitet där taktiken är att komma in i system för att sedan stjäla och kryptera data och sedan begära en lösensumma för att sälja tillbaka datan. Denna typ av attack kallas för ransomware. Offer uppmanas att ta kontakt med hackergruppen via den TOR-baserade webbplatsen (.onion-domän) som Akira använder sig av för att påbörja en ekonomisk förhandling om den stulna datan.

Vilka har blivit utsatta?

Sedan gruppen upptäcktes i mars 2023 har det dokumenterats mer än 63 offer av Akira ransomware. Under den senaste tiden har vi kunnat se flertalet svenska företag och myndigheter som blivit drabbade. Mattias Wåhlén (truesec) säger att hackergruppen Akira står bakom fler angrepp mot svenska företag än någon annan gruppering.

Användade av sårbarheter

När man kollar historiska attacker som Akira har bekräftats ligga bakom så har Cisco produkter setts som den initiala ingången. TrueSec har under en forensisk analys bekräftat att "Cisco Anyconnect SSL VPN" kan ha varit ingångsporten i en attack. Denna sårbarhet blev känd i maj 2020. (CVE-2023-20178)

I augusti 2023 så rapporterade Rapid7 och Cisco om en ökad hotaktivitet som riktas mot Cisco ASA SSL VPN-applikationer, både fysiska och virtuella (CVE-2023-20269). Detta har man kunnat spåra tillbaka till åtminstone Mars 2023, enligt Rapid7. I vissa fall har hotaktörer genomfört en så kallad “credential stuffing” som går ut på att utnyttja tidigare läckta inloggningsuppgifter från Darkweb, och i andra fall har det varit riktade brute force-attacker mot ASA-applikationerna där MFA (multifaktorautentisering) saknats helt eller för vissa användare. Detta har resulterat i ett flertal incidenter som hackergruppen Akira varit bakom.

Vad är RaaS (Ransomware as a Service)?

RaaS är en cyberkriminell affärsmodell där grupper säljer sin ransomware kod till andra cyberkriminella, som sedan kan använda koden för att utföra ransomwareattacker.

Hur funkar RaaS-modellen?

Utvecklare av ransomware gör arbetet med att utveckla skadlig kod, verktyg och infrastruktur. Detta paketeras sedan som ett ”RaaS kit” som sedan säljs till andra cyberkriminella. RaaS är en cyberkriminell variant av SaaS (Software as a Service) kan man säga, där en fullständig programvarulösning tillhandahålls.

De flesta RaaS distributörerna använder sig utav någon eller några av dessa modeller för sin försäljning

• Engångsbetalning: Köp av skadlig kod per tillfälle
• Månadskostnad: Cyberkriminella betalar en månadsavgift för access till olika verktyg som används vid ransomwareattacker
• Vinstdelning: Inget pris vid köp av skadlig kod- eller verktyg, men en högre procent tas ut när ett offer har gjort en betalning

Dessa RaaS-kits säljs sedan i forum på darkweb eller på hackergruppernas TOR-webbplatser.

Hur kan man skydda sig?
För att minimera risken för att bli utsatt för denna, eller liknande attack bör organisationer se till att;

• Standardlösenord inte används inom organisationen
• Tvingad MFA för alla VPN-användare
• Övervaka VPN-loggar för autentiseringsförsök som sker utanför förväntade platser/tider
• Övervaka VPN-loggar för misslyckade autentiseringar och leta efter brute force-försök
• Keep up to date – dvs att uppdatera programvara när ny version finns tillgänglig

Källor:

• What is ransomware-as-a-service (RaaS)? | IBM
• Akira - SentinelOne
• Akira ransomware attacks linked to Cisco vuln fixed in 2020 • The Register
• Under Siege: Rapid7-Observed Exploitation of Cisco ASA SSL VPNs | Rapid7 Blog
• https://www.svd.se/a/mQkV40/rysk-hackergruppen-akira-bakom-attack-mot-filmstaden