Akira
Il gruppo Akira Ransomware è noto per la sua "estetica retrò" e per sfruttare principalmente le vulnerabilità dei servizi VPN e le vulnerabilità note di Cisco.
L'origine del ransomware Akira
Il gruppo ransomware Akira, osservato per la prima volta nel marzo 2023, è noto per i suoi sofisticati attacchi ransomware che colpiscono vari settori in tutto il mondo. Si ipotizzano legami con l'ex gruppo ransomware CONTI, poiché diversi affiliati di CONTI sono migrati verso campagne indipendenti come Royal, BlackBasta e potenzialmente Akira dopo la cessazione delle attività di CONTI. Questo gruppo opera secondo un modello di Ransomware-as-a-Service (RaaS), consentendo agli affiliati di utilizzare il ransomware in cambio di una quota del pagamento del riscatto.
I rapporti suggeriscono che gli affiliati di Akira lavorano anche con altre operazioni di ransomware come Snatch e BlackByte, come dimostra una directory aperta di strumenti utilizzati da un operatore di Akira che aveva collegamenti con il ransomware Snatch. La prima versione del ransomware Akira era scritta in C++ e aggiungeva file con estensione '.akira', creando una nota di riscatto denominata 'akira_readme.txt', parzialmente basata sul codice sorgente di Conti V2. Il 29 giugno 2023, Avast avrebbe rilasciato un decriptatore per questa versione a causa di un difetto nel suo meccanismo di crittografia.
Successivamente, il 2 luglio 2023, è stata rilasciata una nuova versione che correggeva la falla di decrittazione. Questa versione sarebbe scritta in Rust, denominata "megazord.exe" e cambia l'estensione dei file crittografati in ".powerranges". La maggior parte dei vettori di accesso iniziali di Akira prevede tentativi di brute-force sui dispositivi Cisco VPN che utilizzano l'autenticazione a fattore singolo, rendendoli vulnerabili all'accesso non autorizzato. Inoltre, il gruppo è stato identificato mentre sfruttava vulnerabilità note, in particolare CVE-2019-6693 e CVE-2022-40684, perottenere l'accesso iniziale ai sistemi target.
L'origine di Akira rimane poco chiara, ma le sue attività suggeriscono un alto livello di competenza tecnica e di organizzazione.
Cartografia: OCD
Obiettivi
Obiettivi del ransomware Akira
Paesi presi di mira da Akira
Akira ha dimostrato una portata globale, con attacchi confermati in Nord America, Europa e Asia. Il loro modello di bersaglio indiscriminato suggerisce che si concentrano sullo sfruttamento dei sistemi vulnerabili indipendentemente dalla posizione geografica.
Fonte dell'immagine: Ransomware.live
Industrie prese di mira da Akira
Il ransomware Akira ha preso di mira un'ampia gamma di settori, tra cui sanità, servizi finanziari, istruzione e produzione. I loro attacchi hanno interrotto servizi e operazioni critiche, causando alle organizzazioni colpite un significativo danno finanziario e reputazionale.
Fonte dello screenshot: Cyble
Industrie prese di mira da Akira
Il ransomware Akira ha preso di mira un'ampia gamma di settori, tra cui sanità, servizi finanziari, istruzione e produzione. I loro attacchi hanno interrotto servizi e operazioni critiche, causando alle organizzazioni colpite un significativo danno finanziario e reputazionale.
Fonte dello screenshot: Cyble
Le vittime di Akira
Oltre 341 vittime sono state prese di mira da Akira. Tra le vittime più importanti figurano importanti istituzioni sanitarie, università di primo piano e società finanziarie di spicco. Questi attacchi spesso portano all'esfiltrazione di dati sensibili, che vengono poi utilizzati per spingere le vittime a pagare il riscatto.
Fonte: ransomware.live
Metodo di attacco
Metodo di attacco di Akira
Akira in genere ottiene l'accesso iniziale attraverso le e-mail di phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico o sfruttando credenziali compromesse. Spesso utilizza l'indirizzophishing per colpire persone specifiche all'interno delle organizzazioni.
Una volta entrato nella rete, Akira utilizza varie tecniche per aumentare i privilegi, come lo sfruttamento di vulnerabilità note e l'utilizzo di strumenti amministrativi legittimi per ottenere un accesso di livello superiore.
Per evitare il rilevamento, Akira impiega sofisticate tecniche di evasione, tra cui la disattivazione del software di sicurezza, l'uso dell'offuscamento e l'eliminazione dei registri per coprire le proprie tracce.
Akira raccoglie le credenziali attraverso il keylogging, il dumping delle credenziali e l'utilizzo di strumenti come Mimikatz per raccogliere le password dai sistemi infetti.
Il gruppo effettua una ricognizione approfondita per mappare la rete, identificare le risorse critiche e comprendere la struttura dell'organizzazione. A questo scopo utilizza strumenti come PowerShell e script personalizzati.
Akira si muove lateralmente attraverso la rete utilizzando credenziali compromesse, sfruttando le relazioni di fiducia e utilizzando strumenti come RDP e SMB per propagarsi.
La raccolta dei dati comporta la raccolta di informazioni sensibili, proprietà intellettuale e dati personali, che vengono poi esfiltrati a scopo di estorsione.
Il payload del ransomware viene eseguito, criptando i file sui sistemi della vittima. Akira utilizza algoritmi di crittografia robusti per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Prima della crittografia, Akira esfiltra i dati sensibili su server esterni sotto il suo controllo, sfruttando canali di comunicazione criptati per evitare il rilevamento.
La fase di impatto comporta la finalizzazione della crittografia e la consegna della nota di riscatto, che richiede il pagamento in cambio della chiave di decrittografia e della promessa di cancellare i dati esfiltrati.
Accesso iniziale
Akira in genere ottiene l'accesso iniziale attraverso le e-mail di phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico o sfruttando credenziali compromesse. Spesso utilizza l'indirizzophishing per colpire persone specifiche all'interno delle organizzazioni.
Escalation dei privilegi
Una volta entrato nella rete, Akira utilizza varie tecniche per aumentare i privilegi, come lo sfruttamento di vulnerabilità note e l'utilizzo di strumenti amministrativi legittimi per ottenere un accesso di livello superiore.
Difesa Evasione
Per evitare il rilevamento, Akira impiega sofisticate tecniche di evasione, tra cui la disattivazione del software di sicurezza, l'uso dell'offuscamento e l'eliminazione dei registri per coprire le proprie tracce.
Accesso alle credenziali
Akira raccoglie le credenziali attraverso il keylogging, il dumping delle credenziali e l'utilizzo di strumenti come Mimikatz per raccogliere le password dai sistemi infetti.
Scoperta
Il gruppo effettua una ricognizione approfondita per mappare la rete, identificare le risorse critiche e comprendere la struttura dell'organizzazione. A questo scopo utilizza strumenti come PowerShell e script personalizzati.
Movimento laterale
Akira si muove lateralmente attraverso la rete utilizzando credenziali compromesse, sfruttando le relazioni di fiducia e utilizzando strumenti come RDP e SMB per propagarsi.
Collezione
La raccolta dei dati comporta la raccolta di informazioni sensibili, proprietà intellettuale e dati personali, che vengono poi esfiltrati a scopo di estorsione.
Esecuzione
Il payload del ransomware viene eseguito, criptando i file sui sistemi della vittima. Akira utilizza algoritmi di crittografia robusti per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Esfiltrazione
Prima della crittografia, Akira esfiltra i dati sensibili su server esterni sotto il suo controllo, sfruttando canali di comunicazione criptati per evitare il rilevamento.
Impatto
La fase di impatto comporta la finalizzazione della crittografia e la consegna della nota di riscatto, che richiede il pagamento in cambio della chiave di decrittografia e della promessa di cancellare i dati esfiltrati.
MITRE ATT&CK Mappatura
TTP utilizzati da Akira
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1136
Create Account
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
T1219
Remote Access Software
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare Akira con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è il ransomware Akira?
Il ransomware Akira è un sofisticato malware utilizzato dai criminali informatici per criptare i file ed estorcere alle vittime il pagamento di un riscatto.
Come fa Akira ad accedere alle reti?
Akira ottiene l'accesso iniziale attraverso le e-mail di phishing , sfruttando le vulnerabilità e utilizzando credenziali compromesse.
A quali settori si rivolge Akira?
Akira si rivolge a un'ampia gamma di settori, tra cui sanità, servizi finanziari, istruzione e produzione.
Quali tecniche utilizza Akira per eludere il rilevamento?
Akira utilizza tecniche quali la disabilitazione del software di sicurezza, l'offuscamento e l'eliminazione dei registri per eludere il rilevamento.
Come fa Akira ad aumentare i privilegi all'interno di una rete?
Akira sfrutta le vulnerabilità note e utilizza strumenti amministrativi legittimi per ottenere un accesso di livello superiore.
Che tipo di dati vengono esfiltrati da Akira?
Akira esfiltra le informazioni sensibili, la proprietà intellettuale e i dati personali prima di crittografare i file.
Come fa Akira a criptare i file?
Akira utilizza algoritmi di crittografia robusti per garantire che i file non possano essere recuperati senza la chiave di decrittografia.
Qual è l'impatto di un attacco ransomware Akira?
L'impatto comprende la crittografia dei dati, l'interruzione del servizio e la perdita finanziaria dovuta al pagamento del riscatto e agli sforzi di recupero.
Il ransomware Akira può essere individuato e fermato?
Il rilevamento e la prevenzione richiedono solide misure di sicurezza, tra cui soluzioni di rilevamento e risposta estese (XDR), aggiornamenti regolari del software e formazione dei dipendenti.
Cosa devono fare le organizzazioni se sono state infettate dal ransomware Akira?
Le organizzazioni devono scollegare i sistemi interessati, segnalare l'incidente alle autorità e rivolgersi a professionisti della sicurezza informatica per ridurre i danni e recuperare i dati.