Il ransomware Akira ha colpito più di 250 organizzazioni globali, estorcendo riscatti per un valore di 42 milioni di dollari. Ecco come opera e come proteggersi.
L’emergenza ransomware non accenna a placarsi, l’avvento dell’Akira ransomware ne è un esempio allarmante. Dall’inizio del 2023, questo flagello digitale è riuscito a compromettere le rete di oltre 250 organizzazioni a livello globale, estorcendo riscatti per un valore complessivo di $42 milioni. Questo è quanto emerge da un report congiunto di FBI, CISA, il Centro Europeo per la Criminalità Informatica (EC3) di Europol e il National Cyber Security Centre dei Paesi Bassi (NCSC-NL).
Questo sofisticato attacco parassita informatico ha fatto la sua prima comparsa a marzo del 2023 e ha velocemente guadagnato fama nelle ombre del web malintenzionato. Sono stati principalmente attaccati bersagli in vari settori industriali in tutto il mondo. Più specificatamente, a giugno 2023, gli autori del malware avevano creato un versione Linux del ransomware pensato appositamente per colpire le macchine virtuali VMware ESXi, un sistema ampiamente presente nei contesti aziendali.
Gli esperti di sicurezza informatica rivelano che Akira richiede in media un riscatto che varia da $200.000 a milioni di dollari , in base alla dimensione dell’organizzazione attaccata. Le forze dell’ordine affermano che dal 1° gennaio 2024, il gruppo di malintenzionati ha preso di mira circa 250 organizzazioni in Nord America, Europa e Australia, con una richiesta complessiva di riscatto di $42 milioni.
Un esempio concreto di attacco? Nel dicembre del 2023, sono stati violati i sistemi di Nissan in Australia e Nuova Zelanda. Questa intrusioni hanno comportato una fuga di dati sensibili di 100.000 persone. In un caso di attacco all’Università di Stanford, il ransomware ha ottenuto l’accesso ai dati personali di 27.000 individui.
Dai primi vagiti del ransomware Akira, i malintenzionati hanno segnalato attacchi a convinzione contro più di 230 organizzazioni. Le forze dell’ordine hanno raccolto informazioni importanti sugli Indicatori di Compromissione (IoC) di Akira, incluse tattiche e metodi utilizzati dai criminali, identificati durante le indagini condotte dall’FBI dal febbraio 2024.
Per l’accesso iniziale alle reti bersaglio, i cyber criminali attaccano primariamente i servizi VPN che non possiedono un’autenticazione a più fattori. Spesso, sfruttano vulnerabilità conosciute nei prodotti Cisco (come le vulnerabilità CVE-2020-3259 e CVE-2023-20269). Ulteriormente, gli hacker utilizzano spesso il Remote Desktop Protocol (RDP), il phishing mirato per guadagnare l’accesso agli ambienti di vittime inconsapevoli.
Per acquisire maggiori privilegi, i nefari cyberattaccanti utilizzano strumenti quali Mimikatz e LaZagne, sfruttando il Windows RDP soprattutto per muoversi all’interno della rete delle vittime. L’esfiltrazione dati viene realizzata tramite software quali FileZilla, WinRAR, WinSCP e RClone.