Secondo quanto comunicato dalle principali agenzie di cybersicurezza mondiali Akira, un gruppo di ransomware risalente ad un anno fa, avrebbe violato più di 250 organizzazioni ed estorto circa 42 milioni di dollari.
Le indagini condotte dal Federal Bureau of Investigation (FBI) degli Stati Uniti hanno rilevato che il ransomware Akira ha preso di mira aziende e infrastrutture critiche in Nord America, Europa e Australia sin da marzo 2023. Se inizialmente il ransomware prendeva di mira i sistemi Windows, l'FBI ha recentemente trovato anche una variante di Akira per Linux.
L'FBI, unitamente alla Cybersecurity and Infrastructure Security Agency (CISA), all'European Cybercrime Centre (EC3) di Europol e al National Cyber Security Centre (NCSC-NL) dei Paesi Bassi, ha pubblicato un avviso congiunto di cybersecurity (CSA) per "divulgare" la minaccia alle masse.
Secondo questo avviso, Akira guadagna l'accesso iniziale attraverso reti private virtuali (VPN) preinstallate che non dispongono di autenticazione multifattoriale (MFA). Il ransomware procede quindi a estrarre le credenziali e altre informazioni sensibili prima di bloccare il sistema e visualizzare una nota di riscatto.

"Gli operatori di Akira non lasciano una richiesta iniziale di riscatto o istruzioni di pagamento sulle reti compromesse e non trasmettono queste informazioni fino a quando non vengono contattati dalla vittima".

Per ripristinare l'accesso, il gruppo di ransomware richiede alle organizzazioni vittime pagamenti in Bitcoin (BTC). Tale malware spesso disabilita il software di sicurezza dopo l'accesso iniziale per evitare il rilevamento.

Le migliori pratiche di cybersecurity contro gli attacchi ransomware. Fonte: cisa.gov

Alcune delle tecniche di contenimento delle minacce raccomandate nell'advisory sono l'implementazione di un piano di ripristino e di MFA, il filtraggio del traffico di rete, la disattivazione di porte e collegamenti ipertestuali inutilizzati e la crittografia a livello di sistema.
"L'FBI, il CISA, l'EC3 e l'NCSC-NL raccomandano di testare continuamente il proprio programma di sicurezza, su scala, in un ambiente di produzione per garantire prestazioni ottimali rispetto alle tecniche MITRE ATT&CK identificate in questo avviso", concludono le agenzie.

Correlato: Misterioso malware prende di mira i cheater di Call of Duty e ruba i loro BTC

L'FBI, la CISA, l'NCSC e l'Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) avevano già lanciato un allarme contro il malware utilizzato per colpire i wallet e gli exchange di criptovalute.

Directory in cui le informazioni sono state estratte dal malware. Fonte: Centro nazionale per la sicurezza informatica

Il rapporto segnala inoltre che alcuni dei dati estratti dal malware riguardano le directory delle applicazioni di exchange di Binance e Coinbase e dell'applicazione Trust Wallet. Secondo il report, ogni file presente nelle directory menzionate viene estrapolato, indipendentemente dalla tipologia.

Traduzione a cura di Walter Rizzo