Nel maggio 2023, circa due mesi dopo l’inizio delle attività del gruppo, il team di Sophos MDR Threat Intelligence ha pubblicato nel blog un’analisi del ransomware Akira che “riporta indietro nel tempo fino al 1988“. Dagli attacchi iniziali del gruppo di ransomware a marzo, Akira è diventato una minaccia formidabile nel panorama della cybersicurezza per le piccole e medie imprese, postando centinaia di presunte vittime sul suo sito di data leak.
Dopo il nostro report iniziale su questo ransomware, Sophos ha risposto a più di una dozzina di incidenti che lo hanno coinvolto in vari settori e regioni. Secondo i nostri dati, Akira ha preso di mira principalmente organizzazioni situate in Europa, Nord America e Australia, appartenenti ai settori governativo, manifatturiero, tecnologico, dell’istruzione, della consulenza, farmaceutico e delle telecomunicazioni.
Informazioni chiave
- A partire dal mese di ottobre, Sophos ha osservato una nuova tendenza degli attori di Akira a eseguire operazioni di sola estorsione, in cui esfiltravano i dati dall’ambiente della vittima senza distribuire il ransomware o cifrare i sistemi
- In tutti gli incidenti Akira a cui Sophos ha risposto, ha osservato un solo caso di utilizzo della variante Megazord del ransomware, a fine agosto 2023.
- In un incidente, è stato osservato che gli attori di Akira hanno sfruttato una backdoor (exe) precedentemente non segnalata per stabilire il comando e il controllo (C2), una deroga alla loro normale preferenza di utilizzare agenti a doppio uso per la funzione C2.
- Negli attacchi contro le organizzazioni dotate di protezioni endpoint Sophos, i nostri esperti hanno ripetutamente osservato gli attori di Akira tentare di disinstallare e/o disabilitare tali sistemi di protezione per eludere il rilevamento.
Ecco come si sviluppa la catena di attacco (link)