Genel Bakış

Bu örnek, kurumsal altyapıları hedef alan Akira Ransomware'nin 2023-2025 döneminde son derece aktif olan ve şu ana kadar analiz ettiğimiz en tehlikeli fidye yazılımı ailelerinden birinin Swift ile derlenmiş bir örneğidir. Tüm kurumsal ağı şifreleyip çift gasp (veri çalma + şifreleme) uygulayan Akira, gömülü fidye notu ve iki Tor .onion adresiyle kurbanlarla iletişim kurmaktadır.

Akira Teyidi — Gömülü Fidye Notu

Whatever who you are and what your title is, if you're reading this it means
the internal infrastructure of your company is fully or partially dead, all your
backups - virtual, physical - everything that we managed to reach - are completely
removed. Moreover, we have taken a great amount of your corporate data prior to
encryption.

2. Paste this link:
https://akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion/d/4323440794-MBUQJ

4. As for your data, if we fail to agree, we will try to sell personal information/
trade secrets/databases/source codes - generally speaking, everything that has a
value on the darkmarket - to multiple threat actors at once. Then all of this will be
published in our blog - akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad[.]onion.

Paying us you save your TIME, MONEY, EFFORTS and be back on track within 24 hours
approximately. Our decryptor works properly on any files or systems, so you will be
able to check it by requesting a test decryption service.

Teknik Analiz

Datei Şifreleme

  • Şifreli dosya uzantısı: .akira (eski: .arika)
  • Fidye notu dosyası: akira_readme.txt
  • CLI parametreleri: --encryption_path, --encryption_percent
  • Tam şifreleme: (Full begin) Encrypt exception, kısmi şifreleme: (Part) Encrypt exception
  • Spot şifreleme desteği: (Spot) Encrypt exception

Yedek Silme (VSS)

powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
  • Volume Shadow Copy hizmetini PowerShell ile tamamen siliyor
  • Sanal ve fiziksel yedeklere de erişilerek temizleniyor (fidye notunda belirtiliyor)

Tor C2 Altyapısı

  • Kurban İletişim: akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
  • Bu kurban linki: /d/4323440794-MBUQJ
  • Veri sızıntı blogu: akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion

Çift Gasp (Double Extortion)

  • Şifrelemeden önce kurumsal veri exfiltration
  • Kişisel bilgi, ticari sır, veritabanı, kaynak kod
  • Anlaşma sağlanmazsa dark market'te satış veya blog'da yayın

Swift Derlemesi (6. Örnek)

  • __swift_1, __swift_2, __swift_3
  • Bu analiz serimizde tespit edilen 6. Swift-derlenmiş Windows zararlısı
  • Tersine mühendisliği zorlaştırmak için Swift runtime kullanımı

Akira Hakkında

  • 2023 başında ortaya çıkan Akira, önce Windows ardından Linux/VMware ESXi hedefledi
  • Ağırlıklı olarak Cisco VPN, RDP, ve zafiyetli VPN'ler üzerinden ilk erişim
  • Çifte gasp: şifreleme + veri sızdırma
  • FBI ve CISA tarafından kritik tehdit olarak sınıflandırıldı (2024)

Teknik Eigenschaftler

EigenschaftWert
FamilieAkira Ransomware
DerlemeSwift (Windows)
FormatPE32+ x86-64
Größe1.081.856 bayt
Uzantı.akira
Fidye Notuakira_readme.txt
Yedek SilmePowerShell WMI Win32_Shadowcopy
C2akiralkzxzq...onion (Tor)

IOC Özeti

  • Tor C2: akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
  • Veri Blogu: akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
  • Uzantı: .akira
  • Fidye Notu: akira_readme.txt
  • SHA256: def3fe8d07d5370ac6e105b1a7872c77e193b4b39a6e1cc9cfc815a36e909904

IOC-Liste (3 Indikatoren)

IOC — Akira Ransomware
# SHA256 def3fe8d07d5370ac6e105b1a7872c77e193b4b39a6e1cc9cfc815a36e909904 # DOMAIN akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion # DOMAIN akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
TypWertBemerkung
sha256 def3fe8d07d5370ac6e105b1a7872c77e193b4b39a6e1cc9cfc815a36e909904
domain akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion
domain akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion

C2-Server (2 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id.onion domain 80 HTTP inactive —
akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion domain 80 HTTP inactive —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
akiraransomwareswiftwindowsoniontordouble-extortionvssshadowcopypowershellwmifidyeakira-readmecorporate