Il Federal Bureau of Investigation (FBI) degli Stati Uniti, la Cybersecurity and Infrastructure Security Agency (CISA), il National Cyber Security Centre (NCSC-NL) dei Paesi Bassi e lo European Cybercrime Centre (EC3) di Europol hanno lanciato un avviso congiunto sul ransomware Akira.
Il gruppo è responsabile di attacchi a oltre 250 aziende e infrastrutture critiche dal marzo 2023, principalmente in Nord America, Europa e Australia.
Evoluzione e tecniche di attacco di Akira
Gli attori delle minacce di Akira hanno accumulato una stima di 42 milioni di dollari in pagamenti di riscatti a partire dal 1° gennaio 2024. Hanno preso di mira diversi settori, sollevando notevoli preoccupazioni per le organizzazioni di tutto il mondo.
Inizialmente scritto in C++, Akira criptava i file con estensione .akira. Tuttavia, sono emerse delle variazioni. A partire dall’agosto 2023, il gruppo ha distribuito il ransomware Megazord, basato su Rust, che ha aggiunto un’estensione .powerranges ai suoi file crittografati. Alcuni attacchi prevedono ora la distribuzione di entrambe le varianti Megazord e Akira per aumentare l’impatto.
Per saperne di più: Le truffe più comuni di criptovalute nel 2024
L’FBI e i ricercatori di sicurezza informatica hanno rintracciato i metodi di accesso iniziali di Akira. In genere, sfruttano le vulnerabilità note nei servizi VPN di Cisco che mancano di autenticazione a più fattori (MFA). Inoltre, accedono attraverso protocolli di desktop remoto, spear phishing e credenziali compromesse.
Una volta entrati in una rete, gli aggressori di Akira creano nuovi account di dominio per mantenere la persistenza. Quindi sfruttano strumenti di scraping delle credenziali come Mimikatz per intensificare i privilegi. La ricognizione del sistema e l’identificazione dei controller di dominio vengono effettuate utilizzando strumenti come SoftPerfect e Advanced IP Scanner, oltre ai comandi nativi di Windows.
Gli attori di Akira disabilitano spesso il software di sicurezza prima di spostarsi lateralmente attraverso le reti compromesse. È stato osservato che PowerTool disattiva i processi antivirus per eludere il rilevamento.
Per rubare dati sensibili, gli operatori di Akira utilizzano ampiamente strumenti di esfiltrazione come FileZilla, WinSCP e servizi di cloud storage. Stabiliscono canali di comando e controllo con AnyDesk, RustDesk e Cloudflare Tunnel.
Fedeli al modello di doppia estorsione, gli attori di Akira criptano i sistemi dopo aver rubato i dati. La loro nota di riscatto include un codice unico e un URL .onion per contattarli. Non specificano una quantità di riscatto iniziale, spingendo le vittime a negoziare.
Il pagamento del riscatto viene effettuato in Bitcoin agli indirizzi dei portafogli di criptovaluta forniti dagli attori della minaccia.
Per saperne di più: Come acquistare Bitcoin (BTC) e tutto quello che c’è da sapere
Inoltre, per esercitare ulteriore pressione, gli attori delle minacce di Akira minacciano di pubblicare i dati esfiltrati sulla rete Tor e, in alcuni casi, hanno chiamato le aziende vittime, secondo quanto riportato dall’FBI.
L’FBI, il CISA, l’EC3 e l’NCSC-NL hanno emesso raccomandazioni complete per le tecniche di scoperta dei sistemi e delle reti da parte degli attori delle minacce di Akira. L’implementazione di queste mitigazioni può ridurre significativamente il rischio di successo di un attacco.
“Oltre ad applicare le mitigazioni, l’FBI, il CISA, l’EC3 e l’NCSC-NL raccomandano di esercitare, testare e convalidare il programma di sicurezza dell’organizzazione rispetto ai comportamenti delle minacce mappati nella struttura MITRE ATT&CK for Enterprise in questo avviso”, ha scritto il CISA nel suo rapporto.
Secondo un rapporto di Chainalysis del febbraio 2024, gli attacchi ransomware si sono intensificati nel 2023, con 1 miliardo di dollari estorti alle vittime. Ciò evidenzia la crescente minaccia informatica e la necessità per le organizzazioni di potenziare le proprie difese informatiche.
Trusted
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
