La minaccia del ransomware Akira: una guida essenziale
Il ransomware Akira è diventato rapidamente una delle minacce informatiche più devastanti degli ultimi anni, prendendo di mira organizzazioni in diversi settori. Secondo una ricerca condotta dalla CISA, tra marzo 2023 e gennaio 2024, il gruppo responsabile del ransomware Akira ha attaccato oltre 250 organizzazioni, chiedendo un riscatto complessivo di 42 milioni di dollari.
Le aziende di ogni dimensione devono comprendere come funziona questo ransomware per rafforzare le proprie difese e ridurre al minimo i rischi. Leggi questo articolo per conoscere la minaccia rappresentata dal ransomware Akira, il suo ciclo di vita e le strategie pratiche per difendersi da futuri attacchi.
Comprendere la minaccia del ransomware Akira
Il ransomware Akira è un tipo pericoloso di ransomware che impiega un modello di doppia estorsione. Sostituisce i dati sensibili prima di eseguire la crittografia e minaccia di divulgarli se il riscatto non viene pagato. Questo ransomware è emerso nel marzo 2023 e supporta la distribuzione tramite il Ransomware come servizio modello.
Il numero di entità che, secondo quanto riferito, ne sono state vittime è in aumento e comprende organizzazioni di rilievo in diversi paesi (soprattutto in Nord America, Europa e Australia). L’elenco delle vittime del ransomware Akira comprende anche aziende operanti in diversi settori (istruzione, finanza, produzione, settore immobiliare, settore legale, sanità, infrastrutture critiche e servizi municipali/governativi).
Le tipiche campagne moderne del ransomware Akira sono altamente mirate, tecnicamente sofisticate e motivate da interessi economici. Questi fattori combinano un’infiltrazione furtiva con un impatto devastante sulle attività aziendali.
Oltre ai computer Windows, Akira si sta concentrando intensamente sull’attacco agli host ESXi per interrompere il funzionamento delle VM e distruggerle tramite la crittografia dei dati. Questa strategia rende il ransomware estremamente devastante e paralizza un’organizzazione che utilizza un’infrastruttura virtuale per le proprie operazioni aziendali. Circa il 50% degli attacchi nel 2024 ha preso di mira VMware ESXi sfruttando diverse vulnerabilità.
Inizialmente, Akira è stato sviluppato in C++, in particolare la versione per Windows; IBM X-Force ha individuato un campione compilato in C++ nel dicembre 2023. La versione Akira_v2 è scritta in Rust, il che ne migliora le funzionalità e la resistenza all’analisi. Esistono varianti sia per Windows che per Linux, ottimizzate per le rispettive piattaforme (CryptoAPI vs Crypto++).
Ciclo di vita di un attacco del ransomware Akira: passo dopo passo
Per proteggersi dagli attacchi del ransomware Akira, è necessario comprendere come funziona questo ransomware nelle diverse fasi di un attacco informatico. Ciò consente di attuare misure preventive per la protezione dei dati.
Fase 1 – Accesso iniziale tramite punti di ingresso remoti
Gli autori del ransomware Akira ottengono spesso l’accesso iniziale attraverso punti di ingresso remoti, sfruttando servizi esposti o scarsamente sicuri. Questa strategia permette loro di accedere alla Rete di destinazione senza entrarvi fisicamente.
Sfruttamento di servizi VPN e RDP vulnerabili
Gli autori degli attacchi spesso accedono alla rete della vittima sfruttando vulnerabilità zero-day e non corrette in prodotti (gateway) di rete privata virtuale (VPN) diffusi e in software per l’accesso remoto che utilizzano il protocollo RDP (Remote Desktop Protocol).
Esempi di prodotti e vulnerabilità utilizzati da Akira:
- Cisco ASA / FTD — come CVE-2023-20269, una falla di escalation dei privilegi nel processo di autenticazione VPN.
- SonicWall Secure Mobile Access (SMA) appliances — in particolare se prive di patch o di autenticazione a più fattori (MFA).
- Vulnerabilità delle VPN SSL Fortinet FortiGate — incluse vecchie vulnerabilità come CVE-2018-13379, ancora sfruttate su dispositivi non aggiornati.
Le tattiche per l’accesso non autorizzato alla rete della vittima includono i seguenti elementi:
- Eseguire una scansione su Internet alla ricerca di dispositivi con firmware obsoleto.
- Sfruttare la vulnerabilità per aggirare l’autenticazione o eseguire codice.
- Utilizzare token di sessione rubati o credenziali in chiaro memorizzate nella memoria. Gli autori del ransomware Akira possono acquisire un mini dump della memoria del processo LSASS (Local Security Authority Subsystem Service) per raccogliere ulteriori credenziali.
- Attacchi diretti di forza bruta contro account con password deboli.
- Utilizzo di credenziali trapelate dai mercati del dark web.
- Sfruttamento di falle nel gateway RDP o di Servizi Desktop Remoto di Windows non aggiornati.
In alcuni incidenti, il gruppo responsabile del ransomware Akira ha utilizzato:
- AnyDesk, TeamViewer o VNC con password deboli o riutilizzate.
- Sono stati utilizzati strumenti RMM (Remote Monitoring and Management) degli MSP quando gli account degli MSP sono stati compromessi.
- Console di amministrazione basate su cloud (Microsoft 365, AWS) per effettuare l’implementazione di script all’interno della rete.
Nota: Microsoft ha implementato autenticazione multifattoriale obbligatoria per ridurre questo rischio per gli amministratori di Microsoft 365.
Credenziali compromesse
Gli aggressori utilizzano spesso credenziali rubate durante attacchi precedenti. Ecco perché è importante utilizzare credenziali uniche e seguire le buone pratiche di sicurezza. Questo metodo consente agli autori degli attacchi del ransomware Akira di accedere alla rete della vittima senza sfruttare alcuna vulnerabilità. Di conseguenza, gli autori degli attacchi appaiono come utenti legittimi quando accedono alla rete senza compromettere altre misure di sicurezza.
Per ottenere le credenziali, gli autori degli attacchi ricorrono anche a tattiche tradizionali, tra cui:
- il phishing e e-mail di spear-phishing che consentono di acquisire nomi utente e password VPN.
- Keylogger/programmi di furto di informazioni (come RedLine Stealer) sui dispositivi personali degli utenti remoti.
Vengono sfruttati i punti deboli:
- Assenza di autenticazione a più fattori (MFA) per gli accessi alla VPN e alla e-mail.
- Password deboli che possono essere violate con attacchi di forza bruta.
- Attacchi di “affaticamento MFA” (richieste ripetute di accesso fino a quando l’utente non accetta).
I criminali informatici possono ricorrere a un attacco di forza bruta se non vengono trovate credenziali corrispondenti. Questo tipo di attacco prende di mira solitamente i servizi RDP e SSH e può avere successo se vengono utilizzate password molto diffuse o deboli.
Una tipica catena di accesso remoto per il ransomware Akira si presenta così:
Scansione di Internet → Identificazione del servizio esposto → Sfruttamento della VPN o furto delle credenziali → Autenticazione al servizio remoto → Inserimento di strumenti di ricognizione e raccolta delle credenziali → Movimento laterale
Fase 2 – Persistenza ed escalation dei privilegi
Una combinazione di strumenti di amministrazione legittimi, configurazioni errate e script personalizzati consente al ransomware Akira di mantenere l’accesso a lungo termine e di operare con pieni diritti di sistema. La persistenza significa rimanere all’interno dell’ambiente della vittima anche dopo il rilevamento o i riavvii. Dopo aver ottenuto l’accesso alla rete, gli aggressori garantiscono la propria persistenza utilizzando tecniche che rendono le loro azioni non rilevabili, tra cui la creazione di nuovi account e l’escalation dei privilegi.
Creazione di nuovi account
Quando infetta i sistemi Windows, il ransomware Akira aggiunge utenti amministratori locali di Windows o amministratori di dominio per garantire un accesso continuo. A volte, si camuffa utilizzando nomi generici ( admin , helpdesk ). Negli ambienti Active Directory, Akira crea account nascosti con diritti delegati. Se l’autenticazione a più fattori (MFA) è abilitata, gli autori dell’attacco possono talvolta sottrarre i token delle sessioni attive o i valori dei cookie dai browser per aggirare la riautenticazione.
Configurazione di attività pianificate e servizi
Il ransomware Akira crea attività pianificate che eseguono script dannosi o shell inverse all’avvio. Then, the ransomware modifies services to launch its tools and renames malicious services to look like legitimate operating system (OS) services.
Installing remote access tools
Akira ransomware deploys AnyDesk, TeamViewer or RMM agents to retain access even if VPN credentials are revoked. It configures them to auto-start and hide from the taskbar. In Windows, registry settings are edited by modifying startup items and registry keys. Akira alters:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
and
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
These techniques ensure payloads reload on reboot.
After performing these actions, Akira ransomware clears system logs to erase records that could point to its activity. These tactics make it more difficult to identify an attack. Persistence ensures Akira can return even after “cleanup” attempts, slowly exfiltrate data over time for double extortion and deploy the final ransomware payload only after getting full network control.
Privilege escalation
Privilege escalation enables Akira to transition from normal user rights to system-level or domain-level control. Akira ransomware can exploit local privilege escalation vulnerabilities by using public exploits for unpatched Windows flaws (for example, CVE-2021-34527 PrintNightmare). It also targets kernel-level vulnerabilities to gain SYSTEM privileges.
Credential dumping includes dumping Windows cached credentials, domain admin hashes and LSA secrets. Once domain admin credentials are stolen, AD can be fully controlled. Akira uses stolen NTLM hashes or Kerberos tickets to impersonate privileged users without knowing their plaintext passwords. With privilege escalation, Akira ransomware can make maximum impact when encrypting because of access to backups, shadow copies and sensitive servers, which can turn off defenses across the domain.
Step 3 – Lateral movement and reconnaissance
Akira ransomware operators perform lateral movement and reconnaissance methodically. While most ransomware uses the “fire-and-forget” approach, Akira behaves more like an advanced human-led intrusion. It can even disable some security protection software.
Once inside, the attackers aim to identify high-value data and systems, with the goal of causing further damage to the target organization. La fase successiva consiste nell’estendere l’accesso all’intera rete prima di implementare la crittografia. Pertanto, prima di muoversi lateralmente, Akira deve sapere cosa è presente nella rete e dove si trovano gli obiettivi di valore.
La scansione della rete è il primo passo della ricognizione. La mappatura della rete consente al ransomware di identificare i propri obiettivi per l’attacco iniziale. Strumenti integrati come ping , arp -a , e netstat vengono utilizzati per individuare gli host attivi. Altri scanner, come Advanced IP Scanner o nmap , possono mappare le sottoreti. Gli script PowerShell interrogano Active Directory per ottenere informazioni sulla struttura del dominio, le appartenenze ai gruppi, la gerarchia delle unità organizzative (OU) e le posizioni degli account amministrativi.
Successivamente, il ransomware Akira identifica le risorse critiche. Gli obiettivi sono file server, controller di dominio, dispositivi NAS e server di database. Cerca un’infrastruttura di backup per disabilitarla o crittografarla in un secondo momento e individua le unità condivise e le cartelle di sincronizzazione cloud.
Akira abilita l’accesso remoto ai servizi anche se questi sono disabilitati:
- RDP (Remote Desktop Protocol) – spesso dopo averlo abilitato tramite GPO (oggetti di criteri di gruppo) se è disabilitato.
- PMI (Server Message Block) – per copiare strumenti e payload tra host.
- WMI (Windows Management Instrumentation) – per eseguire comandi in remoto senza generare registrazioni RDP.
Akira utilizza hash NTLM o ticket Kerberos rubati per autenticarsi su altri sistemi senza conoscere la password. Il recupero delle credenziali consente di disabilitare gli agenti AV/EDR tramite i diritti di amministratore rubati.
Questo ransomware utilizza strumenti legittimi come:
- PsExec (di Sysinternals) per eseguire comandi su sistemi remoti.
- PowerShell Remoting per eseguire payload senza scriverli su disco.
- Net use per montare condivisioni remote ed esfiltrare file.
Akira può utilizzare gli strumenti MSP RMM (ConnectWise, AnyDesk, ecc.) già implementati nell’ambiente per spostarsi su altre macchine senza far scattare avvisi. Gli MSP dovrebbero prestare attenzione e risolvere Le sfide della sicurezza informatica per gli MSP per proteggere i propri dati e quelli dei clienti.
Gli strumenti e i payload del ransomware vengono copiati su altre macchine per prepararsi alla fase successiva dell’attacco.
La ricognizione e il movimento laterale consentono al ransomware di massimizzare l’impatto della crittografia prendendo di mira il maggior numero possibile di macchine contemporaneamente. Di conseguenza, può accedere a dati sensibili per perpetrare una doppia estorsione (furto di dati + crittografia) e distruggere i backup per spingere le vittime a pagare il riscatto.
Fase 4 – Esfiltrazione dei dati
Il ransomware Akira spesso inizia raccogliendo e comprimendo i dati sensibili per facilitarne il trasferimento e l’offuscamento. Tra gli strumenti comunemente utilizzati figurano WinRAR per comprimere i file in archivi (formato RAR). Gli autori degli attacchi possono anche utilizzare FileZilla , WinSCP e rclone per impacchettare e trasferire i dati rubati. Questi strumenti sono legittimi (affidabili e inseriti nella whitelist) e non destano sospetti come invece accadrebbe con strumenti specifici creati ad hoc. In alcuni attacchi, i dati sono stati caricati direttamente su unità di condivisione cloud MEGA configurate dagli autori degli attacchi.
Gli archivi WinRAR sono stati sottratti utilizzando un browser web Chrome ( Chrome.exe ), inviando file compressi a intervalli di indirizzi IP esterni in modo da simulare traffico legittimo. Akira divulga i dati utilizzando diversi strumenti per rendere questo processo rapido ed efficace. Durante uno degli attacchi del ransomware Akira, gli autori hanno compresso 34 GB di dati con WinRAR e li hanno inviati a una risorsa esterna. Dopo aver ottenuto l’accesso alla rete dell’organizzazione, hanno impiegato circa due ore per portare a termine l’attacco.
Fase 5 – Crittografia e interruzione delle operazioni
Akira utilizza un modello di crittografia ibrido. Questo ransomware crittografa innanzitutto i dati con un algoritmo simmetrico veloce (ChaCha20 o KCipher-2) e poi protegge la chiave simmetrica utilizzando una chiave pubblica RSA hardcoded, in genere RSA-4096. Ogni file interessato presenta la chiave simmetrica aggiunta alla fine e viene crittografato utilizzando la chiave RSA incorporata. Akira può crittografare parzialmente i file per blocchi anziché l’intero file per accelerare la crittografia massimizzando al contempo il danno. Ad esempio, i file di piccole dimensioni (< 2 MB) potrebbero essere crittografati solo al 50%, mentre quelli più grandi vengono suddivisi in più blocchi compressi per una crittografia selettiva.
I file crittografati ricevono l’estensione “. akira ” (e altre come . powerranges o . akiranew nelle varianti più recenti). Il ransomware esclude intenzionalmente i file e le directory critici per il sistema, come . exe , . dll , le cartelle di sistema, Cestino e Windows , per mantenere la stabilità del sistema fino al completamento dell’operazione. Akira avvia l’attacco eliminando tutte le copie shadow dei volumi di Windows tramite PowerShell (o WMI), disabilitando di fatto le opzioni di rollback per le vittime.
Il ransomware Akira è particolarmente aggressivo nei confronti degli VMware ESXi hypervisor. È in grado di crittografare interi host per compromettere più VM in un unico attacco, disabilitare i servizi di sicurezza, arrestare le VM e manomettere le credenziali ESXi per impedire l’accesso agli amministratori.
Una volta terminata la crittografia, il ransomware Akira lascia note di riscatto in ciascuna directory colpita, solitamente denominate akira_readme.txt o fn.txt . Questi file contengono un codice univoco della vittima e un link di negoziazione basato su TOR, che minaccia la divulgazione dei dati e richiede un riscatto in Bitcoin.
Attacco agli host ESXi
Sebbene i sistemi Windows siano gli obiettivi primari per avviare l’attacco e diffonderlo in rete per infettare altre macchine, anche gli host ESXi sono bersagli comuni. Vediamo come il ransomware Akira attacca gli host ESXi.
- Dopo aver ottenuto l’accesso alla rete, gli autori dell’attacco individuano gli host ESXi collegati a vCenter o accessibili direttamente tramite SSH.
- Il ransomware Akira è in grado di sfruttare le versioni vulnerabili di vCenter/ESXi. Se mancano le patch, possono essere sfruttate vulnerabilità note come CVE-2021-21972, CVE-2021-21985 e CVE-2020-3992.
- Una volta che gli aggressori accedono a ESXi tramite SSH (di solito abilitato sugli host per scopi di amministrazione), caricano ed eseguono il crittografo Akira Linux ELF direttamente sull’host. Il ransomware disabilita i servizi di sicurezza di ESXi.
- Il ransomware monta i volumi degli archivi dati su un altro sistema oppure utilizza strumenti integrati ( vmkfstools , scp ) per copiare i file . vmdk e . vmx al fine di sottrarre i dati delle VM.
- Una volta sottratti i dati, Akira spegne le VM utilizzando:
vim-cmd vmsvc/getallvms
vim-cmd vmsvc/power.off
e crittografa i file presenti sugli archivi dati utilizzando il programma di crittografia, proprio come in Linux.
Come rilevare e difendersi dal ransomware Akira
Le strategie di rilevamento sono misure preventive essenziali che richiedono un approccio complesso e dovrebbero includere diverse azioni.
- Monitoraggio del comportamento degli endpoint e della rete. Utilizzare sistemi EDR/XDR (Endpoint Detection and Response/Extended Detection and Response) per rilevare comportamenti sospetti (disabilitazione degli strumenti di sicurezza, eliminazione delle copie shadow, movimenti laterali insoliti, dump LSASS, ecc.). Inoltre, effettuate il monitoraggio dell’utilizzo anomalo degli strumenti di compressione dei file.
- Cercate strumenti di gestione remota (AnyDesk, RustDesk, Radmin), utility di tunneling (Ngrok, Cloudflare Tunnel) o tecniche di furto delle credenziali (Mimikatz, LaZagne). Se né voi né i vostri colleghi li avete installati, potrebbe trattarsi di un primo segnale di un attacco ransomware.
- Monitorate l’implementazione di driver con firma sospetta, come rwdrv.sys (ThrottleStop), che Akira utilizza per caricare driver dannosi ( hlpdrv.sys ) e disabilitare i software di protezione dal malware. Akira può sfruttare i driver firmati e questi attacchi sono denominati attacchi BYOVD (Bring Your Own Vulnerable Driver).
- Prestare attenzione allo spegnimento di massa delle VM. Il ransomware può spegnerle per iniziare a copiare i file e eseguire la crittografia.
- Prestare attenzione all’attività anomala dei file e ai file rinominati con estensioni quali . akira , . akiranew o estensioni correlate.
- Configurare gli avvisi relativi agli account e agli accessi. Segnalare gli account “fantasma” nuovi o riscoperti creati dagli aggressori, specialmente se nascosti dalle schermate di accesso.
- Rilevare anomalie negli accessi VPN/RDP, quali accessi insoliti, tentativi di autenticazione falliti o accessi da località geografiche anomale.
Insieme alle misure di rilevamento, è opportuno implementare strategie di difesa contro il ransomware Akira.
- Configurare l’autenticazione a più fattori per l’accesso a VPN, RDP, strumenti di amministrazione web, e-mail, ecc. Utilizzare password complesse e un criterio di sicurezza rigoroso. Impostare il numero massimo di tentativi di password errati.
- Limitare l’accesso esterno a VPN/RDP; utilizzare il geo-fencing ed eliminare regolarmente credenziali/account inattivi. Configurare i firewall e filtrare il traffico di rete. Disabilitare le porte inutilizzate.
- Applicare regolarmente le patch agli apparecchi VPN e ai sistemi, in particolare a quelli che sono noti bersagli di Akira.
- Implementare la segmentazione della rete e prendere in considerazione una sicurezza zero-trust. Segmentare le reti per limitare il movimento laterale del ransomware e prevenirne la diffusione. Utilizzare il principio del privilegio minimo, ove possibile, per fornire l’accesso solo per le attività obbligatorie.
- Installare un antivirus (AV) con software EDR/XDR per proteggere i computer in rete. Applicare la whitelist dei driver per impedire l’esecuzione di driver firmati vulnerabili. Aggiungere protezioni come la “Moving Target Defense” che bloccano il dumping delle credenziali, gli strumenti di movimento laterale e il ransomware modificando il comportamento del sistema.
Implementare una strategia di backup affidabile necessaria per la strategia complessiva di protezione dei dati.
- Configurare backup regolari . Assicurarsi che i backup siano crittografato, immutabile e che vengano regolarmente testati per verificarne la prontezza al ripristino.
- Seguire le Regola di backup 3-2-1 . Disporre di almeno 3 copie dei dati, 2 archiviate su supporti diversi e 1 offsite. È inoltre consigliabile disporre di un backup offline, con protezione air-gap, a cui il ransomware non possa accedere.
- Condurre regolarmente corsi di formazione per gli utenti : istruire gli utenti su come individuare attività sospette e su cosa fare se si notano comportamenti insoliti. Gli utenti devono scollegare immediatamente il computer se si verificano attività sospette o segni di un’infezione da ransomware e segnalare il problema a un amministratore di sistema.
- Configurare monitoraggio delle infrastrutture . Monitorare i log, i trasferimenti di file insoliti, la creazione di account amministrativi e comportamenti di rete anomali tramite SIEM o strumenti di monitoraggio di terze parti.
- Creare un piano di risposta al ransomware nell’ambito delle più ampie ripristino di emergenza e piano di continuità operativa . Sviluppare e testare un piano specifico per il ransomware piano di risposta agli incidenti, con ruoli e procedure chiari.
Non pagare il riscatto in caso di attacco ransomware. Le autorità (FBI, CISA e altre) sconsigliano di pagare il riscatto poiché non vi è alcuna garanzia di recuperare i dati. Il ripristino dopo un attacco del ransomware Akira presuppone la rimozione del ransomware dai computer infetti o addirittura la reinstallazione del software, l’esecuzione di un audit dell’infrastruttura, l’applicazione di patch a tutte le possibili vulnerabilità e il ripristino dei dati da un backup.
Utilizzate NAKIVO Backup & Replication per il backup e il ripristino dei dati. La soluzione NAKIVO supporta il backup di macchine fisiche, VM, istanze di Amazon EC2, Microsoft 365 e Oracle Database (tramite RMAN). Grazie a un’ampia gamma di opzioni di archiviazione dei backup, è possibile implementare una strategia di backup affidabile. La crittografia dei dati e l’immutabilità del backup proteggono i dati da accessi e modifiche non autorizzati, consentendo di ripristinare i file in caso di disastro o attacco ransomware.
Conclusione
Il ransomware Akira rimane una grave minaccia alla sicurezza informatica, che utilizza tattiche sofisticate per violare le reti, crittografare i dati ed estorcere denaro alle vittime. Comprendere il suo ciclo di vita e i metodi di rilevamento è essenziale per costruire difese solide e ridurre al minimo i potenziali danni. Backup affidabili, strumenti come NAKIVO Backup & Replication e un monitoraggio proattivo possono ridurre in modo significativo l’impatto di un attacco. Tenendosi informate e preparate, le organizzazioni possono rafforzare la propria resilienza contro il ransomware Akira.