Akira Ransomware incassa 42 milioni di dollari in pagamenti di riscatto in un solo anno
Dall'inizio del 2023, il ransomware Akira ha preso di mira più di 250 vittime in tutto il mondo e ha raccolto oltre 42 milioni di dollari in riscatti, secondo CISA, FBI, Europol e il Centro nazionale per la sicurezza informatica dei Paesi Bassi (NCSC-NL).
È stato osservato che gli operatori del ransomware Akira attaccano organizzazioni in vari settori, tra cui servizi e beni, produzione, istruzione, edilizia, infrastrutture critiche, finanza, sanità e industrie legali.
Inizialmente focalizzato sui sistemi Windows, Akira ha ampliato la sua portata per infettare le macchine virtuali VMware ESXi dall'aprile 2023 ed è stato utilizzato insieme a Megazord dall'agosto 2023, come evidenziato in un avviso di CISA, FBI, Europol e NCSC-NL.
Per ottenere l'accesso iniziale, gli operatori del ransomware Akira hanno preso di mira servizi VPN privi di autenticazione a più fattori, sfruttando principalmente vulnerabilità note nei prodotti Cisco (come CVE-2020-3259 e CVE-2023-20269). Hanno inoltre utilizzato il protocollo RDP (Remote Desktop Protocol), lo spear-phishing e il furto di credenziali per violare gli ambienti delle vittime.
Dopo aver ottenuto l'accesso, gli autori delle minacce hanno creato nuovi account di dominio per la persistenza, inclusi in alcuni casi account amministrativi, hanno estratto credenziali e condotto una ricognizione della rete e dei controller di dominio.
L'attore minaccioso che gestisce Akira esegue due varianti distinte
Sulla base di credibili indagini di terze parti, è stato osservato che gli autori delle minacce Akira distribuiscono due distinte varianti di ransomware destinate a diverse architetture di sistema all'interno dello stesso evento di compromissione. Ciò rappresenta uno spostamento rispetto all'attività del ransomware Akira precedentemente segnalata, afferma l'avviso.
In preparazione al movimento laterale all'interno delle reti, gli operatori Akira hanno disabilitato il software di sicurezza per eludere il rilevamento. Sono stati anche osservati utilizzando strumenti come FileZilla, WinRAR, WinSCP e RClone per l'esfiltrazione dei dati e AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok e RustDesk per stabilire comunicazioni di comando e controllo (C&C).
Similmente ad altri gruppi di ransomware, Akira estrae i dati delle vittime prima di crittografarli. Alle vittime viene chiesto di contattare gli aggressori tramite un sito Web basato su Tor e successivamente di pagare un riscatto in Bitcoin.
Per esercitare ulteriore pressione, gli autori delle minacce Akira minacciano di pubblicare dati sottratti sulla rete Tor e in alcuni casi hanno persino contattato le aziende vittime, hanno osservato CISA, FBI, Europol e NCSC-NL.