Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Akira Ransomware Group: l’ascesa inarrestabile di un predatore digitale

Sandro Sana : 31 Maggio 2025 08:44

Se c’è un nome che nel 2025 continua a campeggiare con crescente insistenza nei report di incident response, nei feed di threat intelligence e nei blog degli analisti di cybersicurezza, è quello del gruppo Akira. Questo collettivo criminale, nato apparentemente dal nulla nel 2023, ha saputo in poco più di un anno scalare la gerarchia del ransomware-as-a-service (RaaS), costruendo un’infrastruttura solida, sofisticata e altamente redditizia.

Secondo quanto emerso dall’ultima intelligence card pubblicata da Recorded Future, Akira non è solo uno dei tanti nomi della galassia ransomware: è oggi uno degli attori più attivi, persistenti e pericolosi in circolazione. E dietro al nome – che evoca anime e distopie futuristiche – si cela una realtà ben più concreta: attacchi su larga scala, vittime illustri, una capacità adattiva degna di un APT e, soprattutto, una strategia operativa letale.

Crescita esponenziale e allarmi nella threat landscape globale

Partiamo dai numeri, perché i numeri non mentono: negli ultimi 30 giorni sono stati registrati 4.506 riferimenti a cyber attacchi correlati al gruppo Akira. Un balzo del +151% rispetto al mese precedente.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Questi dati non solo testimoniano una crescita allarmante, ma raccontano una tendenza: Akira sta diventando il nuovo volto dell’estorsione digitale, sfruttando strumenti moderni e metodologie raffinate, spesso in sinergia con partner affiliati nel dark web.

    Un’eredità tossica: da Conti a Akira

    Le analisi condotte su larga scala rivelano che il gruppo Akira presenta forti similitudini a livello di codice con il defunto gruppo Conti, noto collettivo filo-russo smantellato nel 2022 dopo una massiccia fuga di dati interni. Gli sviluppatori di Akira, identificati anche con l’alias Storm-1567, sembrano aver ripreso parte del codice sorgente di Conti, adattandolo a nuove esigenze e, soprattutto, integrandolo in una catena di attacco compatibile sia con Windows che con ambienti Linux/ESXi.

    La prima variante Windows è stata individuata nel marzo 2023, seguita da una versione per sistemi Linux nel luglio dello stesso anno, con target espliciti verso server VMware ESXi, tipici degli ambienti aziendali virtualizzati.

    Akira Attack Chain: l’autopsia di un attacco perfetto

    Ogni attacco Akira si articola in una sequenza operativa meticolosa, ben rappresentata nello schema seguente tratto dall’analisi Recorded Future:

    1. Phishing email: l’entry point più classico, ma ancora straordinariamente efficace. Vengono utilizzate tecniche di social engineering avanzate, spesso mascherate da messaggi legittimi (ordini, fatture, documenti HR).
    2. Commandline scripting: una volta ottenuto l’accesso, vengono eseguiti script tramite PowerShell o cmd per iniziare la fase di dropper.
    3. Registry manipulation: modifiche mirate al registro di sistema per garantire persistenza e disabilitare componenti di sicurezza.
    4. Disabling defenses: vengono disattivati antivirus, EDR e tool di monitoraggio. Akira non vuole resistenza.
    5. Credential harvesting: dump di LSASS, uso di Mimikatz e brute force, anche offline.
    6. Network scanning: strumenti come Advanced IP Scanner e Sharphound mappano la rete e i gruppi di sicurezza.
    7. Lateral movement: sfruttamento di credenziali e strumenti di remote desktop come AnyDesk, RustDesk o tunnel via Cloudflare.
    8. Data collection: raccolta massiva di file sensibili, documenti legali, database, mail e file di backup.
    9. Exfiltration: esfiltrazione dei dati verso server controllati o via canali cifrati (SFTP, FTP, proxy).
    10. Ransomware deployment: cifratura finale con algoritmo personalizzato, estensione “.akira”, e rilascio del file di riscatto.

    Le tecniche MITRE ATT&CK utilizzate da Akira

    La completezza tecnica dell’approccio di Akira è impressionante, come evidenziato nella mappa MITRE ATT&CK fornita da Recorded Future:

    Tra i punti salienti:

    • T1078 – Valid Accounts: uso di account compromessi.
    • T1133 – External Remote Services: sfruttamento di RDP, VPN non sicure e VNC.
    • T1190 – Exploit Public-Facing Application: uso di exploit noti come CVE-2021-21972 e CVE-2023-27532.
    • T1566 – Spearphishing: sia tramite allegati che link.
    • T1059.003 – Windows Command Shell: scripting malevolo.
    • T1547.009 – Shortcut Modification: alterazione dei collegamenti di avvio.
    • T1003.001 – LSASS Memory Dump: estrazione delle credenziali.
    • T1041 – Exfiltration Over C2 Channel: esfiltrazione in tempo reale.

    Vittime illustri, settori bersaglio, impatti devastanti

    Tra le vittime documentate troviamo aziende del calibro di Nissan Motor, Panasonic, Hitachi Vantara, ma anche istituti scolastici come l’Edmonds School District e società nel settore legale e bancario. Nessuno è immune. Dalla PMI al colosso internazionale, l’unico denominatore comune è la vulnerabilità.

    Akira dimostra di non discriminare per geografia o dimensioni, ma solo per potenziale di ricatto: più dati sensibili ha, più alto sarà il riscatto.

    Considerazioni finali: il ransomware non è più un’eccezione, è un modello

    L’operatività di Akira rappresenta la quintessenza del ransomware moderno: flessibile, modulare, basato su affiliate e infrastrutture dark web, capace di colpire con precisione chirurgica. Non si tratta più di un “evento malevolo” isolato, ma di una vera e propria industria criminale, con tanto di helpdesk, politiche di prezzo, SLAs di pagamento e persino “sconti” per chi collabora.

    Cosa possiamo fare?

    1. Abbandonare la reattività: il tempo della difesa passiva è finito. Serve threat hunting proattivo.
    2. Investire nella formazione: le mail di phishing non si fermano da sole. Serve awareness.
    3. Rafforzare gli endpoint: EDR, MFA, segmentazione e backup offline.
    4. Fare intelligence: piattaforme come Recorded Future offrono visibilità e contesto, e dovrebbero far parte della routine operativa di ogni SOC.

    In conclusione

    Akira è il risultato di una perfetta alchimia criminale: codice solido, distribuzione capillare, obiettivi chiari. E come ogni virus ben costruito, si adatta, apprende, persiste.

    L’unico antidoto? Essere un passo avanti. E per farlo, bisogna smettere di pensare come vittime e iniziare a ragionare come bersagli mobili consapevoli.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...

    La miglior difesa è l’attacco! Google è pronta a lanciare Cyber Attacchi contro gli hacker criminali
    Di Redazione RHC - 30/08/2025

    Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...

    Una exploit Zero-Click per WhatsApp consentiva la sorveglianza remota. Meta avvisa le vittime
    Di Redazione RHC - 30/08/2025

    Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...

    Google avverte 2,5 miliardi di utenti Gmail: la sicurezza account a rischio. Fai il reset Password!
    Di Redazione RHC - 30/08/2025

    Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di u...