Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Akira RaaS го таргетира Nutanix VMs, заканувајќи им се на критични организации

Објавено: 17.11.2025

Групата за рансомвер Akira експериментира со нови алатки, багови и нападни површини, со демонстриран успех во значајни сектори.

Низа американски и европски владини агенции предупредија дека последната активност на Akira ransomware претставува „непосредна закана“ за критичната инфраструктура.

Како и повеќето сајбер-криминални групи, Akira ransomware-as-a-service (RaaS) операцијата сака да „удри надолу“ преку уцени на мали и средни компании (SMB). Таа исто така таргетирала и поголеми цели, често во критични сектори како здравство, производство и земјоделство.

За да се истакне тековната закана за критичните сектори, Cybersecurity and Infrastructure Security Agency (CISA), Department of Health and Human Services (HHS), FBI и органите на редот од Франција, Германија, Холандија и Europol објавија заедничко известување во четврток за последните индикатори на компромитирање (IoC) и тактики, техники и процедури (TTPs) на Akira. Најзабележително е како брзо групата ги извлекува податоците на жртвите, користејќи различни нови алатки за малвер и софтверски ранливости што ги користи, и како преминува кон целосно нова нападна површина на хипервајзер која претходно ретко ја таргетирале заканувачите.

Во минатото, „многу набљудувачи беа поспори во препознавањето на Akira како голема закана бидејќи неефикасниот декриптор објавен рано во нејзиниот животен циклус создаде лажна сигурност, дури и додека групата продолжи да ги проширува своите капацитети и да го забрзува оперативниот ритам,“ вели Синтија Кајзер, поранешен заменик директор на FBI’s Cybersecurity Division и сега стар потпретседател на Halcyon’s Ransomware Research Center. Сепак, најмалку неколку години, таа е врвна операција и „една од побрзо движењите рансомвер групи што ги следиме,“ додава таа.

Напаѓачите откриваат Nutanix AHV

Во своето време на истражување на Akira, тимот на Arctic Wolf Labs се сеќава дека „она што навистина го издвојува Akira е колку брзо можат да постават компромитирана околина за енкрипција.“
Клучен фактор, велат тие, „е нивниот раен фокус на виртуелна инфраструктура. Со добивање контрола над складиштето на виртуелни машини (VM) и хипервајзер платформите, тие можат да нарушат повеќе критични системи одеднаш.“ И во овој поглед, во последните месеци, Akira само продолжи да се концентрира на тоа.

Историски, Akira ги напаѓала водечките хипервајзери ESXi (VMware) и Hyper-V (Microsoft). Сепак, во еден напад во јуни 2025, групата ги енкриптирала датотеките на виртуелните дискови поврзани со помал конкурент, Nutanix Acropolis Hypervisor (AHV).

На својата веб-страница, Nutanix тврди дека им служи на повеќе од 27.000 клиенти, вклучувајќи организации во некои критични сектори, како што се US Navy, Nasdaq, аеродромот Gatwick во Лондон и други. Нивните клиенти се распоредени глобално, а финансиските аналитичари забележале дека компанијата континуирано растела во последните години. Тие исто така забележале дека усвојувањето на AHV меѓу тие клиенти е малку под 90%. Со други зборови, AHV е помалку познат, но значаен играч на пазарот, кој им служи на повеќе критични организации.Не само што AHV е потенцијално профитабилна цел за актери на рансомвер, туку тоа исто така не е место каде што бранителите на сајбер-безбедност би биле наклонети да гледаат. Додека ESXi често е таргетиран од хакери — а, во помала мера, и Hyper-V — Akira изгледа дека е првиот голем заканувач кој го насочил својот интерес кон AHV.

Што друго е ново со Akira

Властите исто така забележаа низа други нови развои во тактиките на Akira. На пример, таа експлоатира неколку познати, поправливи ранливости во edge уреди, вклучувајќи ја критичната CVE-2024-40711 (Veeam, десеријализација на ненадежни податоци) и CVE-2024-40766 (SonicWall, непристапна контрола на пристап).

Таа користи комерцијални алатки за далечно управување и мониторинг (RMM) како AnyDesk и LogMeIn за да извршува дејства од типот на администратор во мрежите на жртвите, првенствено со цел да се поткопаат безбедносни програми како firewall-ови, антивирусни мотори и платформи за детекција и одговор на крајни точки (EDR).

Неколку случајни алатки за малвер се појавиле и во нејзиниот арсенал. Биле забележани Akira актери кои користат „SystemBC“ како proxy bot и remote access Trojan (RAT), како и двојната закана „StoneStop“ и „PoorTry“ — соодветно Windows алатка и малициозен драјвер — за прекин на процеси.

Како доказ за тактичкиот успех на Akira, властите забележаа дека групата понекогаш екстрахирала податоци на жртвите за само нешто повеќе од два часа. И до крајот на септември 2025 — без да се вклучи најновата активност — Akira веќе собрала нешто помалку од 245 милиони долари во откупни плаќања.

Тимот на Arctic Wolf Labs додава дека „јавно, повеќе од илјада Akira жртви се познати низ целата нивна дејност. Вистинскиот број е скоро сигурно поголем.“

Извори:

  • Darkreading – Akira RaaS Targets Nutanix VMs, Threatens Critical Orgs Darkreading