Μια νέα συμβουλή από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής αποκαλύπτει ότι το Akira ransomware έχει γίνει μια από τις πιο ενεργές απειλές που στοχεύουν επιχειρήσεις παγκοσμίως.
Από τον Μάρτιο του 2023, αυτή η ομάδα ransomware έχει επηρεάσει περισσότερους από 250 οργανισμούς σε ολόκληρη τη Βόρεια Αμερική, την Ευρώπη και την Αυστραλία, συγκεντρώνοντας περίπου 244,17 εκατομμύρια δολάρια σε έσοδα από λύτρα από τα τέλη Σεπτεμβρίου 2025.
Οι ηθοποιοί απειλών πίσω από το Akira έχουν συνδέσεις με την ανενεργή ομάδα ransomware Conti. Το Akira ransomware στοχεύει κυρίως μικρές και μεσαίες επιχειρήσεις σε πολλούς τομείς.
Ο όμιλος δείχνει έντονη προτίμηση στους τομείς της μεταποίησης, των εκπαιδευτικών ιδρυμάτων, της τεχνολογίας των πληροφοριών, της υγειονομικής περίθαλψης και των χρηματοοικονομικών υπηρεσιών.
Οι φορείς απειλών αποκτούν αρχική πρόσβαση μέσω υπηρεσιών εικονικού ιδιωτικού δικτύου χωρίς ρυθμισμένο έλεγχο ταυτότητας πολλαπλών παραγόντων, εκμεταλλευόμενοι γνωστά τρωτά σημεία στα προϊόντα της Cisco.
Αναλυτές ασφαλείας της CISA αναγνωρισθείς ότι οι παράγοντες της απειλής Akira εξελίσσουν συνεχώς τις μεθόδους επίθεσης τους κατά τη διάρκεια του 2024 και του 2025.
Το ransomware εμφανίστηκε αρχικά ως μια παραλλαγή C++ ειδικά για τα Windows που κρυπτογραφούσε αρχεία με την επέκταση .akira.
Μέχρι τον Απρίλιο του 2023, η ομάδα ανέπτυξε μια παραλλαγή Linux που στοχεύει τις εικονικές μηχανές VMware ESXi. Τον Αύγουστο του 2023, εισήγαγαν τον κρυπτογράφηση Megazord, ένα εργαλείο βασισμένο σε Rust που προσαρτά μια επέκταση .powerranges σε κρυπτογραφημένα αρχεία.
Τον Ιούνιο του 2025, οι φορείς απειλών Akira κρυπτογραφούσαν επιτυχώς αρχεία δίσκων εικονικής μηχανής Nutanix AHV εκμεταλλευόμενοι το CVE-2024-40766, μια ευπάθεια του SonicWall.
Το ransomware χρησιμοποιεί ένα εξελιγμένο υβριδικό σχήμα κρυπτογράφησης που συνδυάζει έναν κρυπτογράφηση ροής ChaCha20 με ένα κρυπτοσύστημα δημόσιου κλειδιού RSA για γρήγορη, ασφαλή ανταλλαγή κλειδιών.
Διπλός εκβιασμός και τακτικές επιμονής
Το Akira λειτουργεί χρησιμοποιώντας ένα μοντέλο διπλού εκβιασμού που συνδυάζει την κρυπτογράφηση δεδομένων με απειλές για διαρροή ευαίσθητων πληροφοριών.
Μετά την απόκτηση αρχικής πρόσβασης, οι φορείς απειλών εδραιώνουν την επιμονή δημιουργώντας νέους λογαριασμούς τομέα και χρησιμοποιώντας εργαλεία απόξεσης διαπιστευτηρίων όπως το Mimikatz και το LaZagne για τη συλλογή κωδικών πρόσβασης.
Αξιοποιούν τα νόμιμα εργαλεία απομακρυσμένης πρόσβασης όπως το AnyDesk και το LogMeIn για να διατηρήσουν την πρόσβαση ενώ συνδυάζονται με την τακτική δραστηριότητα διαχειριστή.
Για την εξαγωγή δεδομένων, η ομάδα χρησιμοποιεί εργαλεία όπως το FileZilla, το WinSCP και το RClone για να μεταφέρει κλεμμένα δεδομένα σε υπηρεσίες αποθήκευσης cloud πριν τα κρυπτογραφήσει.
Για να εμποδίσει την ανάκτηση συστήματος, ο κρυπτογραφητής Akira χρησιμοποιεί εντολές PowerShell για να διαγράψει τα αντίγραφα της υπηρεσίας σκιώδους αντιγραφής τόμου σε συστήματα Windows.
Το σημείωμα λύτρων εμφανίζεται ως fn.txt ή akira_readme.txt και παρέχει στα θύματα οδηγίες να επικοινωνήσουν με τους φορείς της απειλής μέσω μιας διεύθυνσης URL .onion προσβάσιμη μέσω του δικτύου Tor, με πληρωμές που απαιτούνται σε Bitcoin.
Related Posts
Kraken Cross-Platform Ransomware που επιτίθεται σε συστήματα Windows, Linux και VMware ESXi σε Enterprise Environments
Χάκερ που εκμεταλλεύονται τα εργαλεία RMM LogMeIn και PDQ Connect για να αναπτύξουν κακόβουλο λογισμικό ως κανονικό πρόγραμμα
Χάκερ που εκμεταλλεύονται ενεργά Cisco και Citrix 0-Days in the Wild για να αναπτύξουν το Webshell
