Tko i što je Akira, hakerska skupina koja je paralizirala splitsku zračnu luku?

Ime Akira označava i hakersku skupinu koja se bavi napadima ucjenjivačkim zloćudnim programima, ali se istim imenom naziva i varijanta tog ransomwarea, koju je moguće od njih i unajmiti kao uslugu

Sandro Vrbanus srijeda, 24. srpnja 2024. u 16:15

Ovotjedni kaos u splitskoj zračnoj luci izazvala je infekcija zloćudnim ucjenjivačkim softverom, ransomwareom, koji je tamo instalirala notorna hakerska skupina Akira. Nakon napada javili su se žrtvama i zatražili otkupninu, otkrivši tako da oni stoje iza napada i da im je motiv isključivo novčana korist. Tko je, dakle, skupina Akira, kako rade i koliko su opasni?

Sofisticirane metode

Ime Akira (posuđeno od istoimenog anime filma iz 1988.) danas se u svijetu kibernetičke sigurnosti povezuje i s tom skupinom i s njihovom varijantom ransomwarea, a oboje je aktivno najmanje od ožujka prošle godine. Smatra se da je skupina Akira tada nastala nakon raspada ukrajinsko-ruske hakerske skupine Conti, jednog od najzloglasnijih hakerskih entiteta posljednjih godina. Od te skupine Akira preuzima i osnovni način djelovanja, odnosno načina ostvarivanja prihoda – jedan dio je iznajmljivanje zloćudnog softvera u obliku ransomware-as-a-service, a drugi obavljanje izravnih napada.

U pravilu hakeri skupine Akira koriste kompromitirane račune za pristup vanjskim mehanizmima jednofaktorskog pristupa, kao što su VPN-ovi. Prema dosad dostupnim informacijama, upravo je nedostatak dvofaktorske provjere na VPN-u u Zračnoj luci Sveti Jeronim u Splitu bio inicijalni vektor napada. Uz to, iskorištavaju i poznate propuste i ranjivosti u nezakrpanim IT sustavima. Nakon uspješnog inicijalnog pristupa, napadači koriste različite alate i tehnike za lateralno kretanje kroz mrežu, napadaju sve povezane uređaje, backupe i slično, paralizirajući kompromitirani sustav u potpunosti.

Uspješni ucjenjivači

Operacije Akire u pravilu su povezane ucjenama, gdje se prijeti objavom podataka izvučenih iz IT sustava žrtve prije enkripcije ili se jednostavno traži uplata za slanje dekripcijskih ključeva. Ti iznosi, pak, nisu maleni – obično se zahtijeva plaćanje između 200 tisuća i 4 milijuna dolara. Koliki je zahtjev postavljen pred splitsku zračnu luku ne znamo, ali je već objavljeno da on neće biti ispunjen. U prvih godinu dana rada skupina Akira je, u više od 250 uspješnih napada, kroz slične ucjene od žrtava već izvukla više od 42 milijuna dolara, prema podacima koje je objavio FBI u travnju ove godine.

Prošle godine, nedugo nakon što su prvi napadi Akire provedeni, objavljen je bio i alat za dekripciju napadnutih sustava. Naravno, ubrzo su oni promijenili svoje metode, zatvorili postojeće "rupe" u alatima s kojima rade te nastavili s istim aktivnostima. Za aktualni soj ransomwarea kojim se koriste još ne postoji dekriptor. Najčešće mete napada su velike kompanije i institucije u Europi, Australiji i Sjevernoj Americi.