Il ransomware è una delle maggiori minacce per le aziende. Ciò è stato confermato anche dal BSI nel suo rapporto sulla situazione della sicurezza informatica in Germania nel 2022.
Uno dei gruppi di ransomware più famosi e famosi era Conti. Questa organizzazione criminale ha costituito la base per altri autori di minacce che si sono separati dal gruppo ransomware. Uno di questi gruppi è Akira ransomware.
Cos'è Akira?
Akira è un gruppo ransomware relativamente nuovo e in rapida crescita, osservato per la prima volta nel marzo 2023, che utilizza il modello ransomware-as-a-service (RaaS). I RaaS sono servizi e strumenti correlati al ransomware che anche i criminali informatici relativamente inesperti possono utilizzare per ottenere risultati "buoni". Simile ad altri noti gruppi RaaS, Akira penetra nei sistemi IT aziendali, esfiltra i dati e crittografa le applicazioni per il riscatto.
Se il ransomware richiesto non viene pagato, il nome ei dettagli della vittima verranno pubblicati sulla pagina leak di Akira. Secondo il sito, l'organizzazione criminale ha compromesso almeno 63 organizzazioni sin dal suo inizio, con circa l'80% delle aziende vittime di piccole e medie imprese (PMI). Tutto questo ricorda sospettosamente il famigerato gruppo di ransomware Conti. Ad esempio, Akira ignora gli stessi tipi di file e directory di Conti Ransomware e ha caratteristiche simili. Inoltre, la "nuova" stella nel cielo del crimine informatico utilizza anche l'algoritmo ChaCha per crittografare i file.
L'analisi della blockchain rileva i flussi di cassa
"Tracciando le transazioni scoperte durante l'analisi blockchain, possiamo associare i singoli gruppi con maggiore sicurezza sulla base delle transazioni da e verso indirizzi di criptovaluta controllati da attori di minacce note", ha affermato Daniel Thanos, capo di Arctic Wolf Labs. “Il monitoraggio dei pagamenti di riscatto ad Akira ha consentito agli Arctic Wolf Labs di identificare le transazioni verso gli indirizzi associati a Conti.
La stessa metodologia analitica ha permesso al nostro team di identificare i collegamenti tra il gruppo ransomware Karakurt, Diavol e il gruppo ransomware Conti nel 2022." Thanos spiega inoltre: "Stimiamo che Akira sia probabilmente un gruppo ransomware opportunista data la sua vittimizzazione e le tattiche di negoziazione. In quasi tutti i casi indagati da Arctic Wolf, gli attori delle minacce hanno indicato di aver bisogno di tempo per rivedere i dati esfiltrati e presentare una richiesta di riscatto.
difesa e protezione
Ma come possono le aziende proteggersi al meglio dagli attacchi del gruppo ransomware Akira, che sia in combutta con Conti o meno? Innanzitutto, in caso di attacco ransomware, è importante agire con prudenza e informare immediatamente le autorità competenti. Inoltre, la situazione deve essere analizzata e quindi devono essere avviate le necessarie contromisure. Se mancano risorse interne adeguate in una situazione così eccezionale, le aziende possono ricorrere all'aiuto professionale di fornitori di servizi di sicurezza esterni come Arctic Wolf, che hanno le competenze, la forza lavoro e gli strumenti adeguati per reagire in modo appropriato e ridurre al minimo i danni per quanto possibile.
Nel 2023, sebbene Conti si sia sciolto a causa della crescente pressione, dei conflitti interni e del rilascio del codice sorgente, molti dei membri di Conti continuano a devastare le aziende attraverso le loro attività con altri gruppi RaaS, tra cui Akira. Akira continua a evolversi e crescere come gruppo ransomware modificando le sue tattiche per eludere il rilevamento. Processi di sicurezza collaudati, come l'abilitazione dell'MFA su appliance VPN, possono ridurre significativamente la probabilità di una compromissione Akira riuscita, così come patch e aggiornamenti di sistema regolari come parte di una strategia di sicurezza informatica completa.
Altro su ArcticWolf.com
A proposito di lupo artico Arctic Wolf è un leader globale nelle operazioni di sicurezza, fornendo la prima piattaforma di operazioni di sicurezza nativa del cloud per mitigare il rischio informatico. Sulla base della telemetria delle minacce che copre endpoint, rete e fonti cloud, Arctic Wolf® Security Operations Cloud analizza più di 1,6 trilioni di eventi di sicurezza alla settimana in tutto il mondo. Fornisce informazioni critiche per l'azienda su quasi tutti i casi d'uso della sicurezza e ottimizza le soluzioni di sicurezza eterogenee dei clienti. La piattaforma Arctic Wolf è utilizzata da oltre 2.000 clienti in tutto il mondo. Fornisce rilevamento e risposta automatizzati alle minacce, consentendo alle organizzazioni di tutte le dimensioni di impostare operazioni di sicurezza di livello mondiale con la semplice pressione di un pulsante.
Articoli relativi all'argomento