Akira
Il gruppo Akira Ransomware è noto per la sua "estetica retrò" e per sfruttare principalmente le vulnerabilità dei servizi VPN e quelle note di Cisco.
L'origine del ransomware Akira
Il gruppo ransomware Akira, osservato per la prima volta nel marzo 2023, è noto per i suoi sofisticati attacchi ransomware che prendono di mira vari settori in tutto il mondo. Si ipotizza un suo legame con l'ex gruppo ransomware CONTI, poiché diversi affiliati di CONTI sono passati a campagne indipendenti come Royal, BlackBasta e potenzialmente Akira dopo che CONTI ha cessato le sue attività. Questo gruppo opera secondo un modello Ransomware-as-a-Service (RaaS), che consente agli affiliati di utilizzare il ransomware in cambio di una quota dei pagamenti del riscatto.
I rapporti suggeriscono che gli affiliati di Akira collaborino anche con altre operazioni ransomware come Snatch e BlackByte, come dimostra una directory aperta di strumenti utilizzati da un operatore di Akira che aveva collegamenti con il ransomware Snatch. La prima versione del ransomware Akira è stata scritta in C++ e aggiungeva ai file l'estensione ".akira", creando una richiesta di riscatto denominata "akira_readme.txt", basata in parte sul codice sorgente di Conti V2. Il 29 giugno 2023, secondo quanto riferito, Avast ha rilasciato un decryptor per questa versione a causa di un difetto nel suo meccanismo di crittografia.
Successivamente, il 2 luglio 2023, è stata rilasciata una nuova versione che ha risolto il problema di decrittografia. Si dice che questa versione sia scritta in Rust, si chiami "megazord.exe" e cambi l'estensione dei file crittografati in ".powerranges". La maggior parte dei vettori di accesso iniziali di Akira comporta tentativi di forza bruta su dispositivi VPN Cisco che utilizzano l'autenticazione a fattore singolo, rendendoli vulnerabili ad accessi non autorizzati. Inoltre, è stato identificato che il gruppo sfrutta vulnerabilità note, in particolare CVE-2019-6693 e CVE-2022-40684, per ottenere l'accesso iniziale ai sistemi di destinazione.
L'origine di Akira rimane poco chiara, ma le sue attività suggeriscono un alto livello di competenza tecnica e organizzazione.
Paesi presi di mira da Akira
Akira ha dimostrato di avere una portata globale, con attacchi confermati in Nord America, Europa e Asia. Il loro modello di attacco indiscriminato suggerisce un'attenzione particolare allo sfruttamento dei sistemi vulnerabili, indipendentemente dalla posizione geografica.
Settori di riferimento di Akira
Il ransomware Akira ha preso di mira un'ampia gamma di settori, tra cui quello sanitario, dei servizi finanziari, dell'istruzione e manifatturiero. I suoi attacchi hanno interrotto servizi e operazioni critici, causando danni finanziari e reputazionali significativi alle organizzazioni colpite.
Le vittime di Akira
Akira ha preso di mira oltre 517 vittime. Tra le vittime più importanti figurano grandi istituzioni sanitarie, università prestigiose e importanti società finanziarie. Questi attacchi spesso portano alla sottrazione di dati sensibili, che vengono poi utilizzati per costringere le vittime a pagare il riscatto.
Il metodo di attacco di Akira
Akira ottiene solitamente l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni pubbliche o utilizzando credenziali compromesse. Spesso ricorrephishing prendere di mira individui specifici all'interno delle organizzazioni.
Una volta entrato nella rete, Akira utilizza varie tecniche per aumentare i propri privilegi, come sfruttare vulnerabilità note e utilizzare strumenti amministrativi legittimi per ottenere un accesso di livello superiore.
Per evitare di essere scoperto, Akira utilizza sofisticate tecniche di evasione, tra cui la disattivazione dei software di sicurezza, l'uso di tecniche di offuscamento e la cancellazione dei log per coprire le proprie tracce.
Akira raccoglie le credenziali tramite keylogging, credential dumping e utilizzando strumenti come Mimikatz per estrarre le password dai sistemi infetti.
Il gruppo conduce una ricognizione approfondita per mappare la rete, identificare le risorse critiche e comprendere la struttura dell'organizzazione. A tal fine, utilizza strumenti quali PowerShell e script personalizzati.
Akira si muove lateralmente attraverso la rete utilizzando credenziali compromesse, sfruttando relazioni di fiducia e utilizzando strumenti come RDP e SMB per propagarsi.
La raccolta dei dati comporta l'acquisizione di informazioni sensibili, proprietà intellettuale e dati personali, che vengono poi sottratti a scopo di estorsione.
Il payload del ransomware viene eseguito, crittografando i file sui sistemi delle vittime. Akira utilizza robusti algoritmi di crittografia per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Prima della crittografia, Akira esfiltra i dati sensibili verso server esterni sotto il loro controllo, sfruttando canali di comunicazione crittografati per evitare di essere individuati.
La fase di impatto prevede il completamento della crittografia e la consegna della richiesta di riscatto, che esige il pagamento in cambio della chiave di decrittografia e la promessa di cancellare i dati sottratti.
Akira ottiene solitamente l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni pubbliche o utilizzando credenziali compromesse. Spesso ricorrephishing prendere di mira individui specifici all'interno delle organizzazioni.
Una volta entrato nella rete, Akira utilizza varie tecniche per aumentare i propri privilegi, come sfruttare vulnerabilità note e utilizzare strumenti amministrativi legittimi per ottenere un accesso di livello superiore.
Per evitare di essere scoperto, Akira utilizza sofisticate tecniche di evasione, tra cui la disattivazione dei software di sicurezza, l'uso di tecniche di offuscamento e la cancellazione dei log per coprire le proprie tracce.
Akira raccoglie le credenziali tramite keylogging, credential dumping e utilizzando strumenti come Mimikatz per estrarre le password dai sistemi infetti.
Il gruppo conduce una ricognizione approfondita per mappare la rete, identificare le risorse critiche e comprendere la struttura dell'organizzazione. A tal fine, utilizza strumenti quali PowerShell e script personalizzati.
Akira si muove lateralmente attraverso la rete utilizzando credenziali compromesse, sfruttando relazioni di fiducia e utilizzando strumenti come RDP e SMB per propagarsi.
La raccolta dei dati comporta l'acquisizione di informazioni sensibili, proprietà intellettuale e dati personali, che vengono poi sottratti a scopo di estorsione.
Il payload del ransomware viene eseguito, crittografando i file sui sistemi delle vittime. Akira utilizza robusti algoritmi di crittografia per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Prima della crittografia, Akira esfiltra i dati sensibili verso server esterni sotto il loro controllo, sfruttando canali di comunicazione crittografati per evitare di essere individuati.
La fase di impatto prevede il completamento della crittografia e la consegna della richiesta di riscatto, che esige il pagamento in cambio della chiave di decrittografia e la promessa di cancellare i dati sottratti.
TTP utilizzati da Akira
Come rilevare Akira con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Che cos'è il ransomware Akira?
Akira ransomware è un sofisticato malware dai criminali informatici per crittografare i file ed estorcere denaro alle vittime in cambio del pagamento di un riscatto.
Come fa Akira ad accedere alle reti?
Akira ottiene l'accesso iniziale tramite phishing , sfruttando le vulnerabilità e utilizzando credenziali compromesse.
A quali settori si rivolge Akira?
Akira si rivolge a un'ampia gamma di settori, tra cui sanità, servizi finanziari, istruzione e produzione.
Quali tecniche usa Akira per evitare di essere scoperto?
Akira utilizza tecniche quali la disattivazione dei software di sicurezza, l'offuscamento e la cancellazione dei log per eludere il rilevamento.
In che modo Akira aumenta i privilegi all'interno di una rete?
Akira sfrutta vulnerabilità note e utilizza strumenti amministrativi legittimi per ottenere un accesso di livello superiore.
Che tipo di dati sottrae Akira?
Akira sottrae informazioni sensibili, proprietà intellettuale e dati personali prima di crittografare i file.
Come fa Akira a crittografare i file?
Akira utilizza robusti algoritmi di crittografia per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Qual è l'impatto di un attacco ransomware Akira?
L'impatto comprende la crittografia dei dati, l'interruzione dei servizi e le perdite finanziarie dovute al pagamento dei riscatti e alle operazioni di ripristino.
È possibile rilevare e bloccare il ransomware Akira?
Il rilevamento e la prevenzione richiedono misure di sicurezza robuste, tra cui soluzioni di rilevamento e risposta estese (XDR), aggiornamenti software regolari e formazione dei dipendenti.
Cosa devono fare le organizzazioni se vengono infettate dal ransomware Akira?
Le organizzazioni dovrebbero scollegare i sistemi interessati, segnalare l'incidente alle autorità e richiedere assistenza professionale in materia di sicurezza informatica per mitigare i danni e recuperare i dati.