Come funziona il ransomware Akira?
La variante del ransomware Akira è distribuita in vari modi. Alcuni meccanismi di distribuzione noti includono allegati e-mail infetti e lo sfruttamento delle vulnerabilità negli endpoint VPN. Una volta che il ransomware Akira riesce ad accedere a un sistema, utilizza vari mezzi per nascondere la propria presenza. Ad esempio, il ransomware può funzionare contro le soluzioni Endpoint Security e utilizza LOLBins, che "vivono sulla terra" utilizzando funzionalità integrate in un computer per eseguire azioni dannose, per aumentare la complessità del rilevamento e della risoluzione dell'infezione. Il ransomware è noto anche per rubare credenziali da un sistema scaricando la memoria del processo LSASS, fornendogli accesso e privilegi aggiuntivi sul sistema compromesso.
Come il ransomware Conti V2, che è trapelato, il malware utilizza CryptGenRandom e ChaCha 2008 per la crittografia dei file. I file crittografati possono essere identificati da un file .akira aggiunta ai nomi dei file. Il malware elimina anche le copie shadow dei file, impedendo che vengano utilizzate per il ripristino dei dati. In alcuni casi, è stato osservato che il ransomware esegue anche attacchi di sola estorsione. Questi attacchi saltano la fase di crittografia dei dati e, invece, esfiltrano i dati e richiedono un riscatto per non venderli o divulgarli pubblicamente. Dopo che il ransomware ha crittografato e/o rubato i dati, visualizza un messaggio di riscatto. Akira è noto per la richiesta di grandi riscatti, spesso nell'ordine di centinaia di milioni di dollari.
Cosa prende di mira il ransomware Akira?
Il gruppo ransomware Akira richiede solitamente un riscatto di grandi dimensioni, quindi il suo obiettivo principale sono le grandi imprese. In generale, il ransomware prende di mira le aziende del Nord America, Europa e Australia.
Spesso il malware viene distribuito come parte di una campagna di minacce mirate, sfruttando e-mail di phishing o software vulnerabili per infettare i sistemi. I settori target comuni includono l'istruzione, la finanza, la produzione e l'industria medica.
Come proteggersi dal ransomware Akira
Le infezioni da ransomware Akira possono essere costose per un’azienda in termini di diminuzione della produttività, perdita di dati e costi di riscatto e riparazione. Alcune best practice che le organizzazioni possono implementare per ridurre il rischio di un attacco ransomware riuscito includono quanto segue:
- Formazione sulla consapevolezza della sicurezza informatica: Akira sfrutta le e-mail di phishing e le credenziali compromesse per distribuire il proprio malware. La formazione sulla consapevolezza della sicurezza informatica può ridurre l'esposizione di un'organizzazione a queste minacce, insegnando ai dipendenti le best practice di sicurezza e come riconoscere le tecniche di attacco più comuni.
- Soluzioni anti-ransomware : la crittografia e l'esfiltrazione dei dati eseguita ransomware è insolita ed è un chiaro indicatore di un attacco ransomware . Le soluzioni anti-ransomware possono utilizzare questi indicatori comportamentali e altri fattori per identificare, bloccare e rimediare alle infezioni di Akira e altri ransomware.
- Backup dei dati: i ransomware crittografici come Akira sono progettati per costringere un'azienda a pagare un riscatto crittografando i suoi dati e richiedendo il pagamento per la chiave di decrittazione. I backup dei dati consentono a un'azienda di recuperare i dati crittografati senza pagare la richiesta di riscatto.
- Gestione delle patch: Akira sfrutta comunemente le vulnerabilità del software VPN per infiltrarsi in un ambiente di destinazione. L'installazione tempestiva di patch e aggiornamenti consente a un'azienda di colmare queste lacune di sicurezza prima che possano essere sfruttate dal gruppo ransomware .
- Autenticazione utente forte: la variante del ransomware Akira prende di mira comunemente le VPN prive di autenticazione a più fattori (MFA), rendendo più semplice per l'aggressore sfruttare le credenziali compromesse. L'applicazione dell'uso dell'MFA sui sistemi aziendali aumenta la difficoltà per il gruppo ransomware di infettare i sistemi con il proprio malware.
- Segmentazione della rete: ransomware spesso deve spostarsi lateralmente attraverso la rete aziendale dal punto di infezione iniziale fino a un sistema con dati preziosi. La segmentazione della rete rende questo movimento più rilevabile e prevenibile prima che i dati sensibili possano essere crittografati o rubati.
Prevenire gli attacchi ransomware con Check Point
Il ransomware è emerso come una delle principali minacce alla sicurezza informatica aziendale e alla protezione dei dati. I moderni attacchi ransomware non minacciano solo la perdita di dati ma anche la violazione di informazioni sensibili aziendali e dei clienti.
Akira, pur essendo una variante di ransomware relativamente nuova, ha già dimostrato di essere una delle varianti di malware più pericolose in circolazione. Utilizza varie tecniche per nascondersi nei sistemi infetti e combina crittografia dei dati ed estorsione nel tentativo di costringere le aziende a pagare ingenti riscatti.
Prevenire gli attacchi ransomware è essenziale per la sicurezza informatica di un'organizzazione e per la capacità di mantenere le operazioni. Ti invitiamo a esplorare ransomware threat prevention ulteriormente consultando la Guida CISO alla ransomware prevenzione.
Check Pointdi incorpora Harmony Endpoint solide ransomware funzionalità di prevenzione , nonché la capacità di difendere i sistemi di un'organizzazione da varie potenziali Endpoint Security minacce . Per conoscere le funzionalità di Harmony Endpointe scoprire come può aiutare a proteggere la tua azienda da Akira e altre minacce Endpoint Security , non esitare a iscriverti oggi stesso per una demo gratuita.
Feedback