Akira
Il gruppo Akira Ransomware è noto per la sua "estetica retrò" e per sfruttare principalmente le vulnerabilità dei servizi VPN e quelle già note dei prodotti Cisco.
L'origine del ransomware Akira
Il gruppo di ransomware Akira, individuato per la prima volta nel marzo 2023, è noto per i suoi sofisticati attacchi ransomware che prendono di mira diversi settori in tutto il mondo. Si ipotizza che vi siano legami con l'ex gruppo ransomware CONTI, poiché diversi affiliati di CONTI sono passati a campagne indipendenti come Royal, BlackBasta e, potenzialmente, Akira dopo che CONTI ha cessato le operazioni. Questo gruppo opera secondo un modello Ransomware-as-a-Service (RaaS), consentendo agli affiliati di utilizzare il ransomware in cambio di una quota dei riscatti.
Secondo alcune segnalazioni, gli affiliati di Akira collaborerebbero anche con altre operazioni di ransomware quali Snatch e BlackByte, come dimostra una directory accessibile contenente gli strumenti utilizzati da un operatore di Akira che aveva collegamenti con il ransomware Snatch. La prima versione del ransomware Akira era scritta in C++ e aggiungeva ai file l'estensione '.akira', creando una richiesta di riscatto denominata 'akira_readme.txt', che si basava in parte sul codice sorgente di Conti V2. Il 29 giugno 2023, secondo quanto riferito, Avast ha rilasciato un decryptor per questa versione a causa di una falla nel suo meccanismo di crittografia.
Successivamente, il 2 luglio 2023, è stata rilasciata una nuova versione che ha risolto la vulnerabilità di decrittografia. Si ritiene che questa versione sia stata scritta in Rust, si chiami "megazord.exe" e modifichi l'estensione dei file crittografati in ".powerranges". La maggior parte dei vettori di accesso iniziali di Akira comporta tentativi di forza bruta su dispositivi VPN Cisco che utilizzano l'autenticazione a fattore singolo, rendendoli vulnerabili ad accessi non autorizzati. Inoltre, è stato identificato che il gruppo sfrutta vulnerabilità note — in particolare CVE-2019-6693 e CVE-2022-40684— per ottenere l'accesso iniziale ai sistemi di destinazione.
Le origini di Akira rimangono poco chiare, ma le sue attività denotano un elevato livello di competenza tecnica e di organizzazione.
Paesi interessati da Akira
Akira ha dimostrato di avere una portata globale, con attacchi confermati in Nord America, Europa e Asia. Il loro modus operandi indiscriminato suggerisce che l'obiettivo sia quello di sfruttare i sistemi vulnerabili a prescindere dalla loro ubicazione geografica.
Settori di riferimento di Akira
Il ransomware Akira ha preso di mira un ampio ventaglio di settori, tra cui quello sanitario, dei servizi finanziari, dell'istruzione e manifatturiero. I suoi attacchi hanno compromesso servizi e operazioni fondamentali, causando ingenti danni finanziari e di reputazione alle organizzazioni colpite.
Le vittime di Akira
Akira ha preso di mira oltre 517 vittime. Tra queste figurano importanti istituzioni sanitarie, università di primo piano e società finanziarie di rilievo. Questi attacchi comportano spesso la sottrazione di dati sensibili, che vengono poi utilizzati per costringere le vittime a pagare il riscatto.
Il metodo di attacco di Akira
Akira ottiene solitamente l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni accessibili al pubblico o utilizzando credenziali compromesse. Spesso ricorrephishing prendere di mira individui specifici all'interno delle organizzazioni.
Una volta entrato nella rete, Akira ricorre a diverse tecniche per elevare i propri privilegi, come lo sfruttamento di vulnerabilità note e l'uso di strumenti amministrativi legittimi per ottenere un livello di accesso più elevato.
Per evitare di essere scoperto, Akira ricorre a sofisticate tecniche di elusione, tra cui la disattivazione dei software di sicurezza, l'uso di tecniche di offuscamento e la cancellazione dei registri per coprire le proprie tracce.
Akira raccoglie le credenziali tramite keylogging, dumping delle credenziali e l'uso di strumenti come Mimikatz per estrarre le password dai sistemi infetti.
Il gruppo effettua un'accurata ricognizione per mappare la rete, identificare le risorse critiche e comprendere la struttura dell'organizzazione. A tal fine, utilizza strumenti quali PowerShell e script personalizzati.
Akira si muove lateralmente all'interno della rete utilizzando credenziali compromesse, sfruttando le relazioni di fiducia e avvalendosi di strumenti come RDP e SMB per propagarsi.
La raccolta dei dati comporta l'acquisizione di informazioni sensibili, proprietà intellettuale e dati personali, che vengono poi sottratti a fini di estorsione.
Il payload del ransomware viene eseguito, crittografando i file presenti sui sistemi delle vittime. Akira utilizza algoritmi di crittografia avanzati per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Prima della crittografia, Akira trasferisce i dati sensibili su server esterni sotto il proprio controllo, avvalendosi di canali di comunicazione crittografati per evitare di essere scoperto.
La fase di attacco prevede il completamento della crittografia e l'invio della richiesta di riscatto, nella quale si esige il pagamento in cambio della chiave di decrittografia e della promessa di cancellare i dati sottratti.
Akira ottiene solitamente l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni accessibili al pubblico o utilizzando credenziali compromesse. Spesso ricorrephishing prendere di mira individui specifici all'interno delle organizzazioni.
Una volta entrato nella rete, Akira ricorre a diverse tecniche per elevare i propri privilegi, come lo sfruttamento di vulnerabilità note e l'uso di strumenti amministrativi legittimi per ottenere un livello di accesso più elevato.
Per evitare di essere scoperto, Akira ricorre a sofisticate tecniche di elusione, tra cui la disattivazione dei software di sicurezza, l'uso di tecniche di offuscamento e la cancellazione dei registri per coprire le proprie tracce.
Akira raccoglie le credenziali tramite keylogging, dumping delle credenziali e l'uso di strumenti come Mimikatz per estrarre le password dai sistemi infetti.
Il gruppo effettua un'accurata ricognizione per mappare la rete, identificare le risorse critiche e comprendere la struttura dell'organizzazione. A tal fine, utilizza strumenti quali PowerShell e script personalizzati.
Akira si muove lateralmente all'interno della rete utilizzando credenziali compromesse, sfruttando le relazioni di fiducia e avvalendosi di strumenti come RDP e SMB per propagarsi.
La raccolta dei dati comporta l'acquisizione di informazioni sensibili, proprietà intellettuale e dati personali, che vengono poi sottratti a fini di estorsione.
Il payload del ransomware viene eseguito, crittografando i file presenti sui sistemi delle vittime. Akira utilizza algoritmi di crittografia avanzati per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Prima della crittografia, Akira trasferisce i dati sensibili su server esterni sotto il proprio controllo, avvalendosi di canali di comunicazione crittografati per evitare di essere scoperto.
La fase di attacco prevede il completamento della crittografia e l'invio della richiesta di riscatto, nella quale si esige il pagamento in cambio della chiave di decrittografia e della promessa di cancellare i dati sottratti.
TTP utilizzati da Akira
Come individuare Akira con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Cos'è il ransomware Akira?
Il ransomware Akira è un malware sofisticato malware dai criminali informatici per crittografare i file e ricattare le vittime al fine di ottenere il pagamento di un riscatto.
In che modo Akira riesce ad accedere alle reti?
Akira ottiene l'accesso iniziale tramite phishing , sfruttando le vulnerabilità e utilizzando credenziali compromesse.
A quali settori si rivolge Akira?
Akira si rivolge a un'ampia gamma di settori, tra cui quello sanitario, dei servizi finanziari, dell'istruzione e manifatturiero.
Quali tecniche usa Akira per non farsi scoprire?
Akira ricorre a tecniche quali la disattivazione dei software di sicurezza, l'offuscamento e la cancellazione dei log per eludere il rilevamento.
In che modo Akira ottiene privilegi di livello superiore all'interno di una rete?
Akira sfrutta vulnerabilità note e utilizza strumenti amministrativi legittimi per ottenere un livello di accesso più elevato.
Che tipo di dati sottrae Akira?
Akira sottrae informazioni riservate, proprietà intellettuale e dati personali prima di crittografare i file.
In che modo Akira crittografa i file?
Akira utilizza algoritmi di crittografia avanzati per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Quali sono le conseguenze di un attacco del ransomware Akira?
Le conseguenze comprendono la crittografia dei dati, l'interruzione dei servizi e le perdite finanziarie dovute al pagamento dei riscatti e alle operazioni di ripristino.
È possibile individuare e bloccare il ransomware Akira?
Il rilevamento e la prevenzione richiedono misure di sicurezza efficaci, tra cui soluzioni XDR (Extended Detection and Response), aggiornamenti software regolari e la formazione dei dipendenti.
Cosa devono fare le organizzazioni se vengono infettate dal ransomware Akira?
Le organizzazioni dovrebbero scollegare i sistemi interessati, segnalare l'incidente alle autorità e rivolgersi a professionisti della sicurezza informatica per limitare i danni e recuperare i dati.