Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il ransomware Akira è un rebrand di Conti? Probabilmente si. Compromesse 63 aziende negli ultimi 6 mesi

Chiara Nardini : 28 Luglio 2023 09:18

Gli esperti stanno studiando il gruppo ransomware Akira, che da marzo 2023 ha compromesso almeno 63 organizzazioni, prendendo di mira principalmente le piccole e medie imprese. Gli analisti di Arctic Wolf ritengono che Akira possa essere sostenuto da diverse persone associate al già inattivo gruppo Conti.

Come accennato in precedenza, Akira attacca principalmente le piccole e medie imprese e quindi le aziende di tutto il mondo diventano vittime del ransomware, sebbene gli hacker si concentrino su obiettivi negli Stati Uniti e in Canada.

Akira in genere si infiltra nei sistemi Windows e Linux tramite i servizi VPN, soprattutto se gli utenti non hanno abilitato l’autenticazione a più fattori. Per ottenere l’accesso ai dispositivi delle vittime, gli aggressori utilizzano credenziali compromesse, che molto probabilmente acquistano sul dark web.


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Una volta che il sistema è stato infettato, Akira cerca di eliminare i backup che possono essere utilizzati per ripristinare i dati, quindi il ransomware crittografa i file con estensioni specifiche, aggiungendo l’estensione “.akira” a ciascuno di essi.

La nota di riscatto che gli aggressori lasciano nel sistema è scritta in inglese, ma contiene molti errori. In questo messaggio, il gruppo afferma di non voler causare gravi danni finanziari alla vittima e l’importo del riscatto sarà determinato in base al reddito e ai risparmi dell’azienda interessata. Di solito Akira richiede un riscatto compreso tra 200.000 e 4.000.000 di dollari.

Gli esperti sottolineano che Akira utilizza tattiche di “doppia estorsione”, non solo crittografando i dati delle vittime, ma anche rubando informazioni dai sistemi compromessi prima della crittografia. Successivamente, gli aggressori minacciano di pubblicare o vendere questi dati ad altri criminali se non ricevono un riscatto.

“Il gruppo non insiste affinché la società paghi sia per la decrittazione dei dati che per la rimozione delle informazioni rubate. Invece, Akira offre alle vittime l’opportunità di scegliere ciò per cui vorrebbero pagare “, scrivono gli specialisti.

Akira ransomware è simile a Conti in molti modi, dicono i ricercatori. Il malware ignora gli stessi tipi di file e directory e utilizza un algoritmo di crittografia simile. Ma va tenuto conto che all’inizio del 2022 le chat interne di Conti e il codice del ransomware sono diventati di dominio pubblico e ora l’attribuzione degli attacchi è diventata più difficile.

A giugno, i ricercatori di Avast hanno rilasciato dati simili sulla probabile connessione di Akira con Conti, affermando che i creatori del nuovo ransomware erano almeno “ispirati dai codici sorgente di Conti trapelati”.

Vale la pena notare che all’inizio di questo mese, Avast ha rilasciato uno strumento di decrittazione gratuito per i file interessati dagli attacchi Akira. Finora, lo strumento funziona solo su Windows e, dopo il suo rilascio, gli operatori di malware hanno modificato la procedura di crittografia per impedire il recupero gratuito dei file.

I ricercatori di Arctic Wolf invece, si sono concentrati sull’analisi della blockchain e hanno trovato tre transazioni sospette in cui gli utenti di Akira hanno trasferito più di 600.000 dollari a indirizzi utilizzati in precedenza da Conti. Secondo gli esperti, due portafogli scoperti sarebbero stati precedentemente collegati alla gestione di Conti, e uno di loro ha ricevuto pagamenti da diverse famiglie di estorsori.

“Sebbene Conti si sia sciolto a causa di conflitti interni e della pubblicazione del loro codice sorgente, nel 2023 molti membri di Conti hanno continuato a devastare le organizzazioni attraverso il loro lavoro con altri gruppi RaaS, tra cui Akira”, conclude Arctic Wolf.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli

Articoli in evidenza

Due sviluppatori, una Panda, 14.000 km e zero paura! Cosa ne esce fuori? Nerd in fuga a tutto Open Source!

Prendi una Fiat Panda seconda serie del 2003, con 140.000 km sul groppone, il classico motore Fire 1.1, e nessuna dotazione moderna. Ora immagina di trasformarla in una specie di Cybertruck in miniatu...

In vendita sul dark web l’accesso a una web agency italiana: compromessi oltre 20 siti WordPress

Un nuovo annuncio pubblicato sulla piattaforma underground XSS.is rivela la presunta vendita di un accesso compromesso ai server di una web agency italiana ad alto fatturato. A offrire ...

L’Ospedale Cardarelli lancia l’allarme: attenzione alla truffa via SMS

L’Azienda Ospedaliera Antonio Cardarelli di Napoli ha diramato un avviso urgente alla cittadinanza, segnalando una truffa che sta circolando tramite SMS. Numerosi cittadini hanno riportato di a...

E’ giallo sull’Attacco Informatico in Alto Adige. Sembra essere un disservizio del Power Center

E’ giallo relativamente al presunto attacco informatico avvenuto tra le notte del 23 e il 24 giugno in Alto Adige: dalle prime ore di martedì, infatti, si sono registrati problemi diffusi ...

Shock in Francia: i signori di BreachForums erano ventenni cittadini Francesi!

Clamoroso in Francia: smantellata una delle più grandi reti globali di cybercriminalità. Gli hacker di BreachForum erano… francesi. Le autorità francesi hanno sgominato una vasta...