Un gruppo che è rimasto nell’ombra dei giganti degli attacchi ransomware, ma che ora ha dimostrato di essere un attaccante ben strutturato e preciso, il ransomware Akira.
Il gruppo è stato individuato per la prima volta nel marzo 2023 e da allora ha continuato ad attaccare, ma a differenza dei grandi ransomware, Akira ha concentrato i suoi attacchi su aziende di medie e piccole dimensioni, per lo più situate in Francia, ma le aziende più grandi che ha attaccato hanno sede negli Stati Uniti.
Il gruppo ha reso più solidi i suoi attacchi sfruttando le vulnerabilità della VPN Cisco, attraverso la quale ha avuto accesso alla rete interna dell’azienda ed è stato in grado di muoversi lateralmente all’interno del sistema, mappando i file da crittografare.
Dopo aver identificato lo sfruttamento delle vulnerabilità nella sua VPN, Cisco ha rilasciato un aggiornamento e ha notificato ai suoi utenti la vulnerabilità. Successivamente, il gruppo ha aggiornato il suo ransomware e ha aggiunto un crittografo Linux per colpire le macchine virtuali VMware ESXi, il che mostra una chiara evoluzione di Akira.
Il gruppo utilizza la strategia RaaS (Ransomware as a Service), questa tattica consiste nel vendere il malware a gruppi più piccoli o a utenti malintenzionati, il gruppo mantiene determinate regole per colpire i suoi affiliati. Questa tattica è utilizzata da numerosi gruppi, a vantaggio della crescita e della reputazione del gruppo.
Akira utilizza l’algoritmo di crittografia ChaCha20 , che genera una chiave per decifrare i file, che vengono poi crittografati dall’algoritmo RSA. Il gruppo utilizza quindi due livelli di crittografia. I file crittografati hanno l’estensione .akira.
Oltre a criptare i dati, il gruppo estrae i file sensibili per la vittima e fissa una data per il pagamento del riscatto; se il pagamento non viene effettuato entro la data stabilita, i file rubati vengono rilasciati.
Ma anche se c’è tutta questa pressione a pagare il riscatto, non è consigliabile in nessun caso. Non c’è alcuna garanzia che la chiave di decrittazione venga consegnata dopo il pagamento.
Cercate quindi altri modi per recuperare i vostri dati crittografati, come i backup se non sono stati crittografati. Ma se il ripristino dei dati attraverso i backup non è possibile, cercate l’aiuto di professionisti del recupero dati in grado di decriptare il ransomware Akira, come Digital Recovery. Saranno in grado di aiutarvi a decriptare i file criptati.
Descrizione del Ransomware Akira
Digital Recovery dispone di tecnologie esclusive per la decriptazione del ransomware Akira. Abbiamo una vasta esperienza tecnica e strumenti all’avanguardia. Possiamo decriptare file in database, macchine virtuali, sistemi RAID, storage e altro ancora.
Tutte le nostre soluzioni sono proprietarie e sono state sviluppate sulla base della Regolamento Generale sulla Protezione dei Dati (GDPR), per cui offriamo la totale sicurezza che i processi siano sicuri.
A tutti i clienti viene messo a disposizione un accordo di non divulgazione (NDA) che garantisce la riservatezza durante tutto il processo. Tuttavia, se siete interessati a utilizzare un NDA sviluppato dalla vostra azienda, siamo disposti ad analizzarlo con il nostro ufficio legale e ad accettarlo.
Le nostre soluzioni possono essere eseguite da remoto, il che riduce drasticamente il tempo necessario per decriptare i dati. Per i casi di estrema necessità, abbiamo sviluppato una modalità di ripristino di emergenza, nel qual caso i nostri laboratori operano con disponibilità 24×7.
Affidatevi alle nostre soluzioni e ai nostri professionisti per decriptare il ransomware Akira.