Il gruppo ransomware Akira è diventato uno degli attori delle minacce più attivi e di successo finanziario attualmente operativi, con gli investigatori che stimano che la banda abbia ora raccolto più di 250 milioni di dollari in pagamenti di riscatto. Il gruppo è apparso per la prima volta all’inizio del 2023 e ha mantenuto un ritmo costante di attacchi in un’ampia gamma di settori. Nell’ultimo anno, Akira ha mietuto centinaia di vittime e si è affermato come una delle operazioni ransomware più dirompenti monitorate dagli analisti della sicurezza. I suoi operatori continuano a perfezionare i loro strumenti e ad adattare i loro metodi per aggirare i comuni controlli difensivi.
Gli attacchi di Akira seguono uno schema familiare che combina il furto di dati con la crittografia. Prima che i sistemi vengano bloccati, grandi volumi di file vengono estratti dalle reti interne. Le vittime sono quindi costrette a pagare per riottenere l’accesso e impedire la pubblicazione delle informazioni rubate. Questo modello di doppia estorsione è diventato un segno distintivo delle moderne operazioni ransomware e Akira ha dimostrato una particolare competenza nell’eseguirlo su larga scala. Il gruppo è noto anche per la sua attenzione alle organizzazioni di piccole e medie dimensioni, sebbene siano state colpite anche le imprese più grandi.
Un recente cambiamento nella strategia di Akira ha comportato un aumento dell’attività contro le piattaforme cloud e i sistemi di backup. Prendendo di mira questi componenti, gli aggressori cercano di limitare la capacità delle vittime di riprendersi rapidamente. Gli analisti hanno riferito che le varianti più recenti del malware includono miglioramenti alla velocità di crittografia e aggiornamenti progettati per ostacolare le indagini forensi. Questi cambiamenti suggeriscono uno sforzo deliberato per aumentare l’efficienza operativa e ridurre la finestra in cui i difensori possono rispondere. Il gruppo fa anche molto affidamento sulle credenziali ottenute da precedenti violazioni o acquistate tramite mercati criminali.
Il movimento laterale all’interno delle reti delle vittime spesso coinvolge strumenti di accesso remoto o utilità di amministrazione legittime. Una volta che gli aggressori acquisiscono un punto d’appoggio, aumentano i privilegi e distribuiscono il payload del ransomware su più sistemi. La velocità della catena di attacco e l’uso di strumenti legittimi rendono più difficile il rilevamento. Molti incidenti hanno origine da punti deboli nei servizi di accesso remoto, software senza patch o ambienti di backup configurati in modo errato. Questi punti di ingresso continuano ad essere sfruttati perché offrono un percorso affidabile nelle reti aziendali.
Implicazioni per le organizzazioni e la pianificazione della risposta
L’impatto finanziario associato ad Akira riflette la sfida più ampia che le organizzazioni devono affrontare per contrastare le minacce ransomware. Gli aggressori possono interrompere le operazioni, esporre dati sensibili e imporre costi di ripristino significativi. La portata dell’attività di Akira indica che il gruppo opera con una chiara comprensione di come i diversi settori strutturano le loro reti e gestiscono i backup. Queste informazioni consentono loro di progettare attacchi che limitano le opzioni di recupero disponibili per le vittime e aumentano la probabilità di pagamento.
Per ridurre il rischio di compromissione, le organizzazioni sono incoraggiate a dare priorità all’autenticazione forte per l’accesso remoto, all’applicazione regolare di patch e a una migliore segmentazione dei sistemi critici. Gli ambienti di backup devono essere isolati e testati periodicamente per garantire che rimangano funzionanti durante un incidente. Anche il monitoraggio di modelli di accesso insoliti, l’uso imprevisto di strumenti remoti o le modifiche alle configurazioni cloud possono aiutare a rilevare i primi segni di intrusione. Poiché gli Akira e gruppi simili si evolvono rapidamente, le misure difensive devono essere riviste frequentemente e aggiornate in base a nuove informazioni.
Le autorità di sicurezza hanno emesso diversi avvertimenti sull’attività in corso di Akira e hanno fornito indicazioni tecniche su come opera il gruppo. Questi avvisi sottolineano la necessità per le organizzazioni di adottare difese a più livelli e prepararsi alla possibilità di un evento ransomware. Esercitazioni da tavolo, pianificazione della risposta agli incidenti e procedure di comunicazione rapide possono aiutare a ridurre l’impatto di un attacco riuscito. Sebbene nessuna organizzazione possa eliminare completamente il rischio, la preparazione può limitare sia le perdite finanziarie che le interruzioni operative.
La continua ascesa di Akira dimostra come il ransomware rimanga una delle forme più persistenti e redditizie di crimine informatico. Gli aggressori stanno perfezionando i loro metodi, espandendo i loro obiettivi e trovando nuovi modi per aggirare i controlli di sicurezza. Finché queste operazioni generano entrate sostanziali, è probabile che gruppi simili seguano lo stesso modello. Le organizzazioni devono mantenere la consapevolezza di questi sviluppi e garantire che le pratiche di sicurezza informatica stiano al passo con l’evoluzione del panorama delle minacce.