Il ransomware Akira è un rebrand di Conti? Probabilmente si. Compromesse 63 aziende negli ultimi 6 mesi

Gli esperti stanno studiando il gruppo ransomware Akira, che da marzo 2023 ha compromesso almeno 63 organizzazioni, prendendo di mira principalmente le piccole e medie imprese. Gli analisti di Arctic Wolf ritengono che Akira possa essere sostenuto da diverse persone associate al già inattivo gruppo Conti.

Come accennato in precedenza, Akira attacca principalmente le piccole e medie imprese e quindi le aziende di tutto il mondo diventano vittime del ransomware, sebbene gli hacker si concentrino su obiettivi negli Stati Uniti e in Canada.

Akira in genere si infiltra nei sistemi Windows e Linux tramite i servizi VPN, soprattutto se gli utenti non hanno abilitato l’autenticazione a più fattori. Per ottenere l’accesso ai dispositivi delle vittime, gli aggressori utilizzano credenziali compromesse, che molto probabilmente acquistano sul dark web.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Una volta che il sistema è stato infettato, Akira cerca di eliminare i backup che possono essere utilizzati per ripristinare i dati, quindi il ransomware crittografa i file con estensioni specifiche, aggiungendo l’estensione “.akira” a ciascuno di essi.

La nota di riscatto che gli aggressori lasciano nel sistema è scritta in inglese, ma contiene molti errori. In questo messaggio, il gruppo afferma di non voler causare gravi danni finanziari alla vittima e l’importo del riscatto sarà determinato in base al reddito e ai risparmi dell’azienda interessata. Di solito Akira richiede un riscatto compreso tra 200.000 e 4.000.000 di dollari.

Gli esperti sottolineano che Akira utilizza tattiche di “doppia estorsione”, non solo crittografando i dati delle vittime, ma anche rubando informazioni dai sistemi compromessi prima della crittografia. Successivamente, gli aggressori minacciano di pubblicare o vendere questi dati ad altri criminali se non ricevono un riscatto.

“Il gruppo non insiste affinché la società paghi sia per la decrittazione dei dati che per la rimozione delle informazioni rubate. Invece, Akira offre alle vittime l’opportunità di scegliere ciò per cui vorrebbero pagare “, scrivono gli specialisti.

Akira ransomware è simile a Conti in molti modi, dicono i ricercatori. Il malware ignora gli stessi tipi di file e directory e utilizza un algoritmo di crittografia simile. Ma va tenuto conto che all’inizio del 2022 le chat interne di Conti e il codice del ransomware sono diventati di dominio pubblico e ora l’attribuzione degli attacchi è diventata più difficile.

A giugno, i ricercatori di Avast hanno rilasciato dati simili sulla probabile connessione di Akira con Conti, affermando che i creatori del nuovo ransomware erano almeno “ispirati dai codici sorgente di Conti trapelati”.

Vale la pena notare che all’inizio di questo mese, Avast ha rilasciato uno strumento di decrittazione gratuito per i file interessati dagli attacchi Akira. Finora, lo strumento funziona solo su Windows e, dopo il suo rilascio, gli operatori di malware hanno modificato la procedura di crittografia per impedire il recupero gratuito dei file.

I ricercatori di Arctic Wolf invece, si sono concentrati sull’analisi della blockchain e hanno trovato tre transazioni sospette in cui gli utenti di Akira hanno trasferito più di 600.000 dollari a indirizzi utilizzati in precedenza da Conti. Secondo gli esperti, due portafogli scoperti sarebbero stati precedentemente collegati alla gestione di Conti, e uno di loro ha ricevuto pagamenti da diverse famiglie di estorsori.

“Sebbene Conti si sia sciolto a causa di conflitti interni e della pubblicazione del loro codice sorgente, nel 2023 molti membri di Conti hanno continuato a devastare le organizzazioni attraverso il loro lavoro con altri gruppi RaaS, tra cui Akira”, conclude Arctic Wolf.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Chiara Nardini

Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Aree di competenza: Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione