A CISA, az FBI, az Europol és a Holland Nemzeti Kibervédelmi Intézet (NCSC-NL) szerint az Akira több mint 250 szervezetet támadott meg világszerte, és több mint 42 millió dollárt keresett a váltságdíjfizetésekből 2023 eleje óta.
A zsarolóvírus üzemeltetői különböző ágazatokban hajtanak végre támadásokat, mint például gyártás, építőipar, kritikus infrastruktúrák, oktatás, pénzügy, egészségügy vagy jogi szektor. Eleinte még csak Windows rendszereket támadott, de 2023 áprilisa óta már VMware ESXi virtuális gépeket is fertőz, továbbá 2023 augusztusa óta már a Mezagorddal együtt hajt végre támadásokat.
Eleinte az Akira üzemeltetői olyan VPN-szolgáltatásokat vettek célba, melyeknél hiányzott a többfaktoros hitelesítés, ezek közül is leginkább a Cisco termékek ismert sérülékenységei (például a CVE-2020-3259 és a CVE-2023-20269). Ezen felül használtak még RDP-t, spear-phising-et és érvényes hitelesítő adatokat az áldozatok környezetéhez való hozzáféréshez.
A kezdeti hozzáférést követően a támadók új tartományi fiókokat (néhány esetben rendszergazdai fiókokat is) hoztak létre, hitelesítő adatokat szereztek meg, illetve hálózati és tartományvezérlő felderítést végeztek. Az észlelés megakadályozása érdekében letiltották a biztonsági szoftvereket.
„Megbízható harmadik fél nyomozásai alapján, az Akira fenyegető szereplői két különböző zsarolóvírus-változatot telepítettek különböző rendszerarchitektúrák ellen egy támadáson belül. Ez eltér a közelmúltban bejelentett Akira tevékenységekhez képest,” írták a közleményben.
A támadások során továbbá megfigyelték, hogy a támadók FileZilla-t, WinRAR-t, WinSCP-t és RClone-t használnak az adatok kinyeréséhez, AnyDesk-et, Cloudflare Tunnel-t, MobaXterm-et, Ngrok-ot és RustDesk-et pedig a C&C kommunikáció lefolytatásához. A közleményben továbbá megjelentek az IoC-k amelyek az Akiraval hozhatók kapcsolatba, valamint a hálózatvédők számára ajánlott segítő intézkedések.
A többi zsarolóvírussal támadó csoporthoz hasonlóan az Akira is kiszivárogtatja titkosítás előtt az adatokat, majd az áldozatokat arra utasítja, hogy egy Tor-alapú webhelyen keresztül lépjenek kapcsolatba a támadókkal, és fizessék ki a váltságdíjat Bitcoinban.
