Il fenomeno del ransomware rappresenta una delle minacce più gravi e in continua evoluzione.
Tra questi, Akira Ransomware continua a seminare scompiglio attaccando nello specifico macchine virtuali VMware ESXi su piattaforme Linux.
Questo articolo si propone di esplorare la natura, le strategie e le conseguenze dell’attività di Akira Ransomware, ponendo un accento particolare sulla cybergang che lo gestisce.

Attraverso un’analisi dettagliata, cerchiamo di comprendere non solo il funzionamento di questo ransomware, ma anche il suo impatto sulle organizzazioni colpite, offrendo una prospettiva più ampia sulle sfide che il cybercrime moderno presenta.

akira ransomware
  1. Origine del nome Akira e del collettivo
  2. Vittime del ransomware
  3. Akira, storia dell’attacco
  4. Come si presenta il Ransomware Akira alle sue vittime?
  5. Misure di prevenzione

Origine del nome Akira e del collettivo

L’origine del nome “Akira Ransomware” secondo una recente ricerca si ispira all’omonimo film giapponese del 1988.
La scelta del nome rispecchia l’estetica del film, che viene emulata dal gruppo ransomware nel loro sito di divulgazione delle fughe di dati. Il film è ambientato in una Neo-Tokyo post-apocalittica e la potente entità denominata “Akira” nel film viene utilizzata come metafora per la forza distruttiva del ransomware.

akira ransomware website onion

Vittime del ransomware

Le vittime dell’Akira Ransomware includono principalmente organizzazioni commerciali, con una particolare attenzione verso le piccole e medie imprese. Il ransomware ha colpito aziende in vari settori, tra cui servizi finanziari, sanità, istruzione, e produzione.
La cybergang sembra focalizzarsi su obiettivi negli Stati Uniti e in Canada, sfruttando vulnerabilità nei loro sistemi informatici per infiltrarsi e diffondere il ransomware.

Akira, storia dell’attacco

L’attacco di Akira Ransomware è sofisticato e segue una procedura dettagliata.
Prima di tutto, gli aggressori individuano le reti vulnerabili, spesso sfruttando vulnerabilità nei servizi VPN di Cisco.

Ebbene sì, Akira è alla continua ricerca di account VPN Cisco compromessi per violare le reti aziendali senza la necessità di aprire backdoor aggiuntive o sfruttare altri sistemi simili.
Una volta guadagnato l’accesso, si concentrano su sistemi Linux, in particolare su ambienti VMware ESXi, eseguendo script che permettono alla gang di prendere il controllo dei sistemi virtualizzati. In particolare, gli aggressori ottengono l’accesso iniziale sfruttando account validi e servizi remoti con credenziali deboli. Utilizzano quindi tecniche di dump delle credenziali di sistema per accedere a informazioni sensibili. Successivamente, si addentrano nel sistema conducendo attività di scoperta di file e directory, nonché di discovery di sistemi e reti remoti. Il ransomware si muove all’interno del sistema tramire movimento laterale avviene spesso attraverso Protocollo Desktop Remoto (RDP), che permette agli aggressori di muoversi liberamente attraverso la rete.
Successivamente, il ransomware viene eseguito e per mezzo di tecniche di crittografia avanzate inizia a criptare i file delle vittime, inclusi documenti importanti e database, rendendoli di fatto inaccessibili. Akira utilizza l’algoritmo di crittografia ChaCha20 , che genera una chiave per decifrare i file, che vengono poi crittografati dall’algoritmo RSA. Akira Ransomware cifra i file delle sue vittime aggiungendo l’estensione “.akira” ai file crittografati.

Ogni file criptato viene marchiato con un’estensione specifica, come un segno distintivo dell’attacco.
Dopo aver completato la crittografia, Akira lascia un messaggio di riscatto: akira_readme.txt. All’interno del file di testo vengono fornite istruzioni alle vittime su come pagare il riscatto per recuperare l’accesso ai loro dati.

Come si presenta il Ransomware Akira alle sue vittime?

Akira si presenta alle sue vittime attraverso il messaggio di riscatto una volta completata la crittografia dei file.
Questo messaggio di solito viene lasciato in un file di testo posizionato nelle directory in cui i file sono stati criptati.
Il messaggio contiene tipicamente istruzioni su come pagare il riscatto per ottenere la chiave di decrittazione e ripristinare l’accesso ai file bloccati.

Sintomi dell’attacco in corso

  1. I file colpiti avranno l’estensione “.akira”, indicando che sono stati criptati dal ransomware.
  2. I file crittografati non saranno più accessibili, con i tentativi di apertura che risultano in un errore o in un messaggio che indica che i file sono criptati.
  3. Potresti notare un rallentamento del sistema a causa dell’attività in background del ransomware durante il processo di crittografia.
  4. Potrebbero apparire nuovi file o cartelle nel sistema, correlati al processo di crittografia o al malware stesso.
  5. Le soluzioni di sicurezza installate potrebbero generare allarmi indicando la rilevazione di un comportamento sospetto.

Misure di prevenzione

Per prevenire attacchi come quello di Akira Ransomware, le organizzazioni dovrebbero adottare strategie di sicurezza multiple.
È fondamentale sostituire l’autenticazione basata solo su password con l’Autenticazione Multi-Fattore (MFA), prestando attenzione ai conti con eccezioni di bypass.

La vigilanza nei confronti di traffico proveniente dalle reti TOR è anche cruciale.
Inoltre, le aziende dovrebbero segmentare gli account amministrativi di dominio da quelli di stazione di lavoro per ridurre l’impatto del dumping delle credenziali. Infine, l’uso di strumenti di rilevamento e analisi di sicurezza per identificare comportamenti sospetti e bloccare l’accesso remoto non autorizzato è essenziale.