گروه هکری پشت نرم افزار آکیرا تا اول ژانویه ۲۰۲۴، با نفوذ به شبکههای بیش از ۲۵۰ قربانی، حدود ۴۲ میلیون دلار درآمد غیرقانونی کسب کرده است.
بر اساس هشدار مشترکی که توسط سازمانهای امنیت سایبری هلند و آمریکا به همراه مرکز جرائم سایبری اروپا (EC3) صادر شده، «نرم افزار آکیرا از مارس ۲۰۲۳ بر روی کسبوکارهای مختلف و زیرساختهای حیاتی در آمریکای شمالی، اروپا و استرالیا تأثیر گذاشته است.»
این گزارش میافزاید: «در آوریل ۲۰۲۳، پس از تمرکز اولیه روی سیستمهای ویندوز، بازیگران مخرب آکیرا نسخهای برای سیستمعامل لینوکس را نیز هدف قرار دادند که ماشینهای مجازی VMware ESXi را آلوده میکند.»
گروه نرم افزار آکیرا که باج مضاعف طلب میکند، در مراحل اولیه از نسخه نوشتهشده با ++C استفاده میکرد، اما از آگوست ۲۰۲۳ به کد نوشتهشده با زبان Rust روی آورده است. لازم به ذکر است که این گروه نرم افزار مجرمانه، کاملاً با خانواده نرم افزار آکیرا که در سال ۲۰۱۷ فعال بود، متفاوت است.
دسترسی اولیه به شبکههای هدف از طریق سوءاستفاده از آسیبپذیریهای شناختهشده در تجهیزات سیسکو تسهیل میشود. روشهای جایگزین نفوذ شامل استفاده از پروتکل دسترسی از راه دور (RDP)، فیشینگ هدفمند، اعتبارنامههای معتبر و سرویسهای شبکه خصوصی مجازی (VPN) است که فاقد حفاظت تأیید هویت دو مرحلهای (MFA) هستند.
گروه (Akira) از روشهای مختلفی برای نفوذ و اخاذی استفاده میکند. آنها با ساخت حساب کاربری جدید در سیستم آلوده، به آن دسترسی دائمی پیدا میکنند (persistence) و برای اینکه شناسایی نشوند از درایور نرمافزار امنیتی Zemana AntiMalware سوءاستفاده کرده و با تکنیک BYOVD (بستن برنامههای آنتیویروس با درایور آسیبپذیر دلخواه) جلوی آنتیویروس را میگیرند.
برای دسترسی به سطوح بالاتر در سیستم قربانی، از ابزارهای سرقت اعتبارنامه مانند Mimikatz و LaZagne استفاده میکنند و با استفاده از RDP (پروتکل ریموت دسکتاپ ویندوز) در شبکه قربانی به صورت جانبی حرکت میکنند (lateral movement). خروج اطلاعات محرمانه نیز با استفاده از نرمافزارهایی مثل FileZilla، WinRAR، WinSCP و RClone انجام میشود.
تحلیلگران امنیت گزارش کردهاند که باستانافزار (ransomware) آکیرا از الگوریتم ترکیبی Chacha20 و RSA برای رمزنگاری اطلاعات استفاده میکند و همچنین میتواند با حذف نسخههای پشتیبان (shadow copies) امکان بازیابی اطلاعات را از بین ببرد.
در برخی موارد، گروه آکیرا برای سیستمهای با ساختارهای مختلف (ویندوز و ESXi) از نرم افزارهای مجزایی (Akira_v2) استفاده کرده است. شواهد حاکی از آن است که گروه آکیرا با گروه باجافزار منحلشده Conti مرتبط است. اگرچه شرکت Avast در جولای گذشته ابزار رمزگشایی برای آکیرا منتشر کرد، اما به احتمال زیاد این ابزار دیگر کارایی ندارد.