I criminali informatici dietro il ransomware Akira hanno guadagnato oltre 42 milioni di dollari in un anno

Secondo i rapporti di CISA, FBI, Europol e del Centro nazionale di sicurezza informatica olandese (NCSC-NL), i criminali informatici responsabili del ransomware Akira hanno accumulato l'incredibile somma di oltre 42 milioni di dollari in un solo anno. Le loro attività nefaste hanno colpito più di 250 entità in tutto il mondo, in una vasta gamma di settori tra cui servizi, produzione, istruzione, edilizia, infrastrutture critiche, finanza, sanità e settori legali.

Inizialmente limitato a prendere di mira i sistemi Windows, Akira Ransomware ha ampliato la sua portata per infettare le macchine virtuali VMware ESXi dall'aprile 2023. Inoltre, il suo arsenale è stato rafforzato con l'integrazione di Megazord a partire dall'agosto 2023, come evidenziato da CISA, FBI, Europol e NCSC-NL in un recente avviso.

Gli operatori di Akira Ransomware hanno dimostrato un modus operandi sofisticato, sfruttando le vulnerabilità dei servizi VPN privi di autenticazione a più fattori, sfruttando in particolare i punti deboli noti dei prodotti Cisco come CVE-2020-3259 e CVE-2023-20269. Hanno inoltre utilizzato tattiche come l'infiltrazione del protocollo RDP (Remote Desktop Protocol), campagne di spear-phishing e l'utilizzo di credenziali valide per infiltrarsi negli ambienti delle vittime.

Dopo aver ottenuto l'accesso iniziale, questi autori delle minacce adottano meticolose strategie di persistenza, creando nuovi account di dominio, estraendo credenziali e conducendo un'ampia ricognizione della rete e dei controller di dominio. L'avviso sottolinea una notevole evoluzione nelle tattiche di Akira, con l'implementazione di due distinte varianti di ransomware contro diverse architetture di sistema all'interno di un singolo evento di violazione.

Nel tentativo di eludere il rilevamento e facilitare il movimento laterale, gli operatori Akira disabilitano sistematicamente il software di sicurezza. Il loro toolkit include una gamma di applicazioni software per l'esfiltrazione dei dati e per stabilire comunicazioni di comando e controllo, tra cui FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok e RustDesk.

Similmente ad altri sindacati di ransomware , Akira adotta un doppio modello di estorsione, esfiltrando i dati delle vittime prima della crittografia e richiedendo il pagamento in Bitcoin tramite canali di comunicazione basati su Tor. Gli aggressori intensificano ulteriormente la pressione minacciando di divulgare pubblicamente i dati sottratti sulla rete Tor e, in alcuni casi, contattando direttamente le organizzazioni vittimizzate.

In risposta a questo panorama di minacce in aumento, l’avviso fornisce ai difensori della rete indicatori di compromissione (IoC) associati ad Akira, insieme alle strategie di mitigazione consigliate per rafforzare le loro difese contro tali attacchi.