Il ransomware Akira, emerso come minaccia a marzo, ha continuato a evolversi, estendendo la sua portata dai sistemi Windows per includere anche i server Linux e adottando una crescente serie di tattiche, tecniche e procedure (TTP). Un dettagliato rapporto su Akira da LogPoint descrive questo ransomware “altamente sofisticato”, che cifra i file delle vittime, elimina le copie shadow e richiede un riscatto per il recupero dei dati.
Metodo di infezione
La catena di infezione mira attivamente ai VPN Cisco ASA che non hanno autenticazione multifattore, sfruttando la vulnerabilità CVE-2023-20269 come punto di ingresso. A settembre, il gruppo aveva colpito con successo 110 vittime, concentrandosi su obiettivi negli Stati Uniti e nel Regno Unito. L’azienda britannica di controllo qualità Intertek è stata una recente vittima di alto profilo; il gruppo ha anche preso di mira settori come la produzione, i servizi professionali e l’automobilistica.
Caratteristiche del ransomware
Akira utilizza un metodo di doppia estorsione rubando dati personali, cifrandoli e poi estorcendo denaro alle vittime. Se rifiutano di pagare, il gruppo minaccia di rilasciare i dati sul Dark Web. Una volta ottenuto l’accesso, il gruppo utilizza strumenti come le app di desktop remoto AnyDesk e RustDesk e lo strumento di cifratura e archiviazione WinRAR. Con l’aiuto di PC Hunter, un avanzato strumento di informazioni sul sistema e gestore di attività, il gruppo si muove lateralmente attraverso i sistemi compromessi, insieme a wmiexc.
Tattiche di evasione
Il gruppo può anche disabilitare il monitoraggio in tempo reale per evitare il rilevamento da parte di Windows Defender, e le copie shadow vengono eliminate tramite PowerShell. Vengono rilasciate note di riscatto in diversi file nel sistema della vittima, contenenti istruzioni di pagamento e assistenza per la decrittazione.
Punti di preoccupazione
Anish Bogati, ingegnere di ricerca sulla sicurezza presso Logpoint, sottolinea che l’uso di Akira di binari interni di Windows (noti anche come LOLBAS) per l’esecuzione, la recupero delle credenziali, l’elusione della difesa, la facilitazione del movimento laterale e l’eliminazione di backup e copie shadow, è la TTP più preoccupante del gruppo.
Misure preventive
Bogati raccomanda alle organizzazioni di implementare l’autenticazione multifattore e di limitare le autorizzazioni per prevenire l’attacco forzato delle credenziali, oltre a mantenere software e sistemi aggiornati. Suggerisce anche la segmentazione della rete per isolare sistemi critici e dati sensibili, riducendo il rischio di violazioni e limitando il movimento laterale degli aggressori.
Panorama del ransomware
Akira fa parte di una nuova ondata di attori del ransomware che hanno energizzato il panorama delle minacce. Nuovi gruppi di ransomware includono 8Base, Malas, Rancoz e BlackSuit, ognuno con le sue caratteristiche e obiettivi distinti. “Guardando al loro numero di vittime, Akira è destinato a diventare uno degli attori minacciosi più attivi”, avverte Bogati.