Il panorama delle minacce informatiche in Italia è in continua evoluzione, e il ransomware Akira è emerso come uno degli attori più distruttivi e persistenti. L’esperienza di un’autorità specializzata come l’ACN (Agenzia per la Cybersicurezza Nazionale) in Italia è fondamentale per affrontare questa minaccia.
Akira opera secondo il modello Ransomware-as-a-Service (RaaS) e mira principalmente a organizzazioni di medie e grandi dimensioni, con un focus su settori critici. La complessità della sua crittografia e la sofisticazione delle sue tattiche richiedono una risposta specializzata, ed è in questo scenario che la soluzione Tracer di Digital Recovery si posiziona come un vantaggio strategico.
Il Ransomware Akira in Dettaglio: Tattiche ed Espansione
Il gruppo Akira è emerso nel marzo 2023 e ha rapidamente guadagnato notorietà per la sua aggressività e capacità di adattamento. Ci sono indicazioni che il gruppo possa avere collegamenti con il famigerato gruppo Conti, ormai sciolto, ereditando parte della sua esperienza e infrastruttura.
Tattiche, Tecniche e Procedure (TTPs)
Akira non si limita a un singolo vettore di attacco, ma utilizza una combinazione di TTPs che lo rendono particolarmente pericoloso per gli ambienti aziendali:
| Tattica | Descrizione | Implicazione per il Recupero |
| Sfruttamento delle Vulnerabilità | Il gruppo sfrutta attivamente vulnerabilità note, come il difetto in Cisco Adaptive Security Appliance (ASA) (CVE-2023-20269), per ottenere l’accesso iniziale alle reti aziendali. | L’accesso iniziale è rapido e spesso non rilevabile dalle difese di base. |
| Espansione del Bersaglio | Inizialmente focalizzato sui sistemi Windows, Akira ha esteso le sue capacità per includere ambienti Linux, VMware e, più recentemente, file disco VM Nutanix AHV. | Il recupero richiede conoscenze specialistiche in più sistemi operativi e ambienti di virtualizzazione. |
| Doppia Estorsione | Oltre a crittografare i dati, Akira ruba informazioni sensibili prima della crittografia, minacciando di pubblicarle se il riscatto non viene pagato. | Il recupero dei dati deve essere accompagnato da un’analisi forense per mitigare il rischio di fuga di dati. |
| Crittografia Ibrida | Il ransomware utilizza uno schema di crittografia ibrida che combina il cifrario a flusso ChaCha20 per crittografare il contenuto dei file con l’algoritmo a chiave pubblica RSA per proteggere le chiavi di decrittazione. | Ciò rende la decrittazione tramite forza bruta o strumenti generici praticamente impossibile. |
La Sfida del Recupero e l’Allerta delle Autorità
Data la complessità della crittografia Akira, il recupero dei dati diventa una sfida che va oltre le capacità dei reparti IT interni o dei software di recupero convenzionali.
L’ACN e altre autorità internazionali sconsigliano vivamente alle organizzazioni di pagare il riscatto. Il pagamento non garantisce il recupero dei dati, non impedisce la fuga delle informazioni rubate e, soprattutto, finanzia future attività criminali.
È in questo momento di crisi che l’esperienza di un laboratorio specializzato diventa indispensabile.
La Soluzione Specializzata: Tracer di Digital Recovery
Digital Recovery, con la sua specializzazione in casi ad alta complessità e ransomware, ha sviluppato la soluzione Tracer, progettata specificamente per affrontare le crittografie più impegnative, incluse quelle utilizzate da Akira.
Tracer non è uno strumento di decrittazione generico; è una metodologia e tecnologia proprietaria che consente a Digital Recovery di superare le barriere imposte da schemi di crittografia ibrida come ChaCha20/RSA di Akira.
Vantaggi di Tracer rispetto al Pagamento del Riscatto
| Caratteristica | Soluzione Tracer (Digital Recovery) | Pagamento del Riscatto |
| Sicurezza e Fuga di Dati | Il recupero è accompagnato da un processo sicuro, mitigando il rischio di fuga di dati rubati. | Il pagamento non impedisce la fuga dei dati rubati (doppia estorsione). |
| Etica e Legalità | Non finanzia la criminalità informatica, in linea con le raccomandazioni delle autorità italiane. | Finanzia il crimine e può esporre l’azienda a sanzioni legali. |
| Tempo di Inattività (Downtime) | In molti casi, il recupero può essere eseguito da remoto, riducendo drasticamente il tempo di inattività. | Il processo di negoziazione e l’ottenimento della chiave possono richiedere giorni o settimane. |
Prossimi Passi Dopo un Attacco Akira
Se la tua organizzazione in Italia è vittima del ransomware Akira, l’azione immediata è cruciale.
- Isolare il Sistema: Scollega immediatamente i sistemi interessati dalla rete per prevenire la diffusione.
- Non Tentare Soluzioni Fai-da-te: Non tentare di ripristinare backup corrotti o utilizzare software di recupero generici, poiché ciò potrebbe compromettere permanentemente i dati.
- Contattare Esperti: Digital Recovery è pronta per avviare immediatamente una diagnosi avanzata.
Non perdere tempo a negoziare con i criminali. Affidati alla tecnologia Tracer e all’esperienza di Digital Recovery per un recupero sicuro ed efficace.
