Genel Bakış

Bu örnek, kurumsal altyapıları hedef alan Akira Ransomware'nin 2023-2025 döneminde son derece aktif olan ve şu ana kadar analiz ettiğimiz en tehlikeli fidye yazılımı ailelerinden birinin Swift ile derlenmiş bir örneğidir. Tüm kurumsal ağı şifreleyip çift gasp (veri çalma + şifreleme) uygulayan Akira, gömülü fidye notu ve iki Tor .onion adresiyle kurbanlarla iletişim kurmaktadır.

Akira Teyidi — Gömülü Fidye Notu

Whatever who you are and what your title is, if you're reading this it means
the internal infrastructure of your company is fully or partially dead, all your
backups - virtual, physical - everything that we managed to reach - are completely
removed. Moreover, we have taken a great amount of your corporate data prior to
encryption.

2. Paste this link:
https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion/d/4323440794-MBUQJ

4. As for your data, if we fail to agree, we will try to sell personal information/
trade secrets/databases/source codes - generally speaking, everything that has a
value on the darkmarket - to multiple threat actors at once. Then all of this will be
published in our blog - akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad[.]onion.

Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours
approximately. Our decryptor works properly on any files or systems, so you will be
able to check it by requesting a test decryption service.

Teknik Analiz

파일 Şifreleme

  • Şifreli dosya uzantısı: .akira (eski: .arika)
  • Fidye notu dosyası: akira_readme.txt
  • CLI parametreleri: --encryption_path, --encryption_percent
  • Tam şifreleme: (Full begin) Encrypt exception, kısmi şifreleme: (Part) Encrypt exception
  • Spot şifreleme desteği: (Spot) Encrypt exception

Yedek Silme (VSS)

powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
  • Volume Shadow Copy hizmetini PowerShell ile tamamen siliyor
  • Sanal ve fiziksel yedeklere de erişilerek temizleniyor (fidye notunda belirtiliyor)

Tor C2 Altyapısı

  • Kurban İletişim: akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
  • Bu kurban linki: /d/4323440794-MBUQJ
  • Veri sızıntı blogu: akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion

Çift Gasp (Double Extortion)

  • Şifrelemeden önce kurumsal veri exfiltration
  • Kişisel bilgi, ticari sır, veritabanı, kaynak kod
  • Anlaşma sağlanmazsa dark market'te satış veya blog'da yayın

Swift Derlemesi (6. Örnek)

  • __swift_1, __swift_2, __swift_3
  • Bu analiz serimizde tespit edilen 6. Swift-derlenmiş Windows zararlısı
  • Tersine mühendisliği zorlaştırmak için Swift runtime kullanımı

Akira Hakkında

  • 2023 başında ortaya çıkan Akira, önce Windows ardından Linux/VMware ESXi hedefledi
  • Ağırlıklı olarak Cisco VPN, RDP, ve zafiyetli VPN'ler üzerinden ilk erişim
  • Çifte gasp: şifreleme + veri sızdırma
  • FBI ve CISA tarafından kritik tehdit olarak sınıflandırıldı (2024)

Teknik 속성ler

속성
패밀리Akira Ransomware
DerlemeSwift (Windows)
FormatPE32+ x86-64
크기1.081.856 bayt
Uzantı.akira
Fidye Notuakira_readme.txt
Yedek SilmePowerShell WMI Win32_Shadowcopy
C2akiralkzxzq...onion (Tor)

IOC Özeti

  • Tor C2: akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
  • Veri Blogu: akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
  • Uzantı: .akira
  • Fidye Notu: akira_readme.txt
  • SHA256: def3fe8d07d5370ac6e105b1a7872c77e193b4b39a6e1cc9cfc815a36e909904

IOC 목록 (3 개 지표)

IOC — Akira Ransomware
# SHA256 def3fe8d07d5370ac6e105b1a7872c77e193b4b39a6e1cc9cfc815a36e909904 # DOMAIN akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion # DOMAIN akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
유형메모
sha256 def3fe8d07d5370ac6e105b1a7872c77e193b4b39a6e1cc9cfc815a36e909904
domain akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
domain akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion domain 80 HTTP inactive —
akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion domain 80 HTTP inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
akiraransomwareswiftwindowsoniontordouble-extortionvssshadowcopypowershellwmifidyeakira-readmecorporate