Impatto Sistemico

Critico (81.41)

Sintesi

Da inizio 2026 ad oggi questo CSIRT ha registrato ,nel contesto nazionale, un aumento significativo di attacchi ransomware attribuibili al gruppo AKIRA, con 13 incidenti confermati, i cui principali target sono identificati tra le piccole e medie imprese.

Le analisi svolte confermano lo sfruttamento attivo di vulnerabilità n-day non patchate presenti su dispositivi perimetrali, con una particolare predilezione per i firewall SonicWall, e la compromissione sistematica di servizi SSL VPN esposti. Tali elementi risultano pienamente coerenti con le tattiche, tecniche e procedure (TTP) attribuite al gruppo che, storicamente, sfrutta punti deboli in soluzioni di sicurezza per ottenere accesso iniziale e consolidare la propria presenza all’interno degli ambienti compromessi.

Descrizione

Approfondimento Operativo: Gruppo AKIRA

AKIRA è un’organizzazione criminale Ransomware-as-a-Service (RaaS) emersa nel marzo 2023. Le analisi di cyber threat intelligence suggeriscono che l’organizzazione rappresenti uno spin-off del gruppo Conti dissoltosi nel maggio 2022 a seguito di leak interni. AKIRA si posiziona ai vertici mondiali per volume di attacchi ed efficacia tecnica. Il vettore di ingresso primario è rappresenatato dallo sfruttamento di vulnerabilità note (n-day) che interessano gli edge device . Nella fase di post-exploitation il gruppo applica tattiche ” living-off-the-land ” (LOLBins) abusando di strumenti legittimi preinstallati oltre a distribuire tool di amministrazione remota legittimi quali AnyDesk, BloodHound e Impacket al fine di ottenere persistenza, mappare la rete ed esfiltrare dati.

Dal punto di vista dello sviluppo i primi payload utilizzati dal gruppo, scritti in C++, cifrano i file con estensione “.akira” e depositano una nota di riscatto denominata “akira_readme.txt”. Il rilascio di un decryptor funzionante da parte di Avast nel giugno 2023 ha costretto l’organizzazione ad evolversi.

Dall’agosto 2023 è operativa una nuova variante, in codice Rust, denominata “Megazord”, che appende al nome del file l’estensione “.powerranges”.

Attualmente, le due varianti (C++ e Rust) risultano impiegate simultaneamente o in modo alternato per garantire la massima flessibilità ed efficacia dell’attacco.

Correlazioni e Modalità di Compromissione Rilevate

L’analisi dei 13 incidenti trattati in ambito nazionale rivela la presenza di vulnerabilità n-day non patchate nei sistemi di protezione di rete utilizzati dalle vittime ed evidenzia tre direttrici principali di compromissione:

• Violazione del Perimetro: Il principale punto di ingresso utilizzato dal gruppo negli attacchi analizzati risiede nell’esposizione di interfacce SSL VPN e apparati firewall non correttamente patchati. Oltre allo sfruttamento attivo di vulnerabilità note, in alcuni degli incidenti trattati il gruppo ha utilizzato credenziali valide per l’accesso in VPN spesso appartenenti a consulenti esterni e fornitori software.
• Cifratura dei sistemi di Virtualizzazione e Backup: Una volta ottenuto l’accesso persistente ai sistemi, il gruppo procede con la fase di impatto attraverso la cifratura degli hypervisor (es. VMware ESXi, VCenter etc) cifrando i datastore e bloccando di conseguenza l’operatività delle VM. Da notare che quando possibile, ad esempio in presenza di backup online, il gruppo procede anche alla cifratura degli stessi in modo da rendere più complesse, o impossibili, le attività di ripristino.
• Sfruttamento dei Blind Spot EDR: In casi circoscritti, l’attore è riuscito comunque a perpetrare l’attacco sfruttando lacune nella copertura degli endpoint con sistemi di protezione avanzata (EDR). Si evidenzia come tali soluzioni rappresentino una delle ultime linee di difesa qualora il threat actor abbia ottenuto accesso alla rete target, risultando quindi particolarmente cruciali per la protezione degli asset critici, come i sistemi di autenticazione Active Directory.

Analisi delle Vulnerabilità

Si riportano di seguito le vulnerabilità comunemente utilizzate dal gruppo:

• SonicWall SonicOS: identificata tramite la CVE-2024-40766 , di tipo “Improper Access Control” e con score CVSS v3.1 pari a 9.3. Tale vulnerabilità, che interessa le appliance SonicWall Gen 5, Gen 6 e Gen 7, è causata da un’inadeguata gestione del controllo degli accessi sull’interfaccia di management. Nel dettaglio, un attaccante remoto non autenticato, potrebbe sfruttare tale vulnerabilità per ottenere l’accesso non autorizzato alle risorse e, in specifiche condizioni, causare anche il crash del firewall.
• Cisco ASA e FTD: identificata tramite la CVE-2023-20269 , di tipo “Authentication Bypass” e con score CVSS v3.1 pari a 5.0. Tale vulnerabilità interessa la funzionalità VPN di accesso remoto ed è dovuta ad un’inadeguata separazione dei processi di autenticazione, autorizzazione e accounting (AAA). Nel dettaglio, un attaccante remoto non autenticato, potrebbe inviare richieste opportunamente predisposte e continue, al fine di condurre un attacco di tipo brute-force, riuscendo a stabilire una sessione clientless SSL VPN senza autorizzazione sui servizi interessati.
• Cisco ASA e FTD: identificata tramite la CVE-2020-3259 , di tipo “Information Disclosure” e con score CVSS v3.1 pari a 7.5, interessa l’interfaccia web dei dispositivi. Un attaccante remoto non autenticato, sfruttando una gestione del buffer relativo alla richieste HTTP/HTTPS non ottimale, può inviare richieste GET opportunamente predisposte al fine di accedere a locazioni di memoria tipicamente non consentite e ottenere informazioni sensibili.
• Veeam Backup & Replication: identificata tramite la CVE-2024-40711 , di tipo “Deserialization of Untrusted Data” e con score CVSS v3.1 pari a 9.8. Tale vulnerabilità interessa l’infrastruttura di backup Veeam ed è causata dalla deserializzazione di dati, ricevuti dai servizi di backup/replica, senza adeguata validazione strutturale degli stessi. Un attaccante remoto non autenticato può inviare dati opportunamente predisposti tramite questi servizi; lo sfruttamento consente l’esecuzione di codice arbitrario da remoto (RCE), al fine di assumere il controllo completo dei servizi interessati.
• VMware ESXi: identificata tramite la CVE-2024-37085 , di tipo “Authentication Bypass” e con score CVSS v3.1 pari a 6.8. Tale vulnerabilità interessa gli host ESXi integrati con Active Directory ed è causata da una gestione errata nella validazione dei gruppi di sistema. Nel dettaglio, un attaccante remoto autenticato, operante con privilegi sufficienti in AD, potrebbe ricreare un gruppo eliminato (es. ‘ESXi Admins’) per eludere i controlli di sicurezza, ottenendo privilegi amministrativi elevati sui sistemi target.
• Veeam Backup & Replication: identificata tramite la CVE-2023-27532 , di tipo “Missing Authentication for Critical Function” e con score CVSS v3.1 pari a 7.5. Tale vulnerabilità interessa i componenti dell’infrastruttura Veeam ed è causata dalla mancanza di meccanismi di autenticazione sull’interfaccia TCP 9401. Nel dettaglio, un attaccante remoto non autenticato, operante all’interno del perimetro di rete, potrebbe inviare richieste opportunamente predisposte per estrarre le credenziali archiviate e ottenere l’accesso ai sistemi interessati.

Criticità, Superficie di Esposizione e Azioni di Mitigazione

I casi trattati evidenziano come gli edge device , in particolare i sistemi di protezione perimetrale, debbano essere costantemente e tempestivamente aggiornati, nonché opportunamente configurati (evitando misconfiguration o impostazioni di default non verficate) in quanto rappresentano la prima linea di difesa di una rete.

Si raccomanda pertanto l’applicazione di quanto di seguito riportato specificando che la mancata, parziale o ritardata implementazione di opportune contromisure non deve essere considerata come una consapevole accettazione del rischio ma come un significativo aumento della probabilità di compromissione dell’infrastruttura:

• Applicazione degli aggiornamenti di sicurezza, in particolare per gli edge device , hypervisor ESXi e server di backup. Dispositivi non aggiornabili devono essere rimossi e sostituiti quanto prima;
• Implementazione di ”autenticazione a più fattori” (MFA) su ogni accesso remoto, VPN o interfaccia esposta e per tutti gli utenti;
• Suddivisione logica dei path di rete (es. tramite vlan dedicate e non ruotate), delle credenziali (disaccoppiamento tra i domini di autenticazione) e dei dispositivi (es. utilizzo di PAW) utilizzati per le attività di amministrazione della rete nel suo complesso rispetto a quelli in uso per i servizi corporate;
• Estensione della copertura EDR a tutti gli endpoint dell’organizzazione. Qualsiasi host connesso alla rete sprovvisto di EDR costituisce un punto critico sul quale non si ha alcuna visibilità;
• Adozione di copie di backup offline ( cold-storage ) con credenziali dedicate, possibilmente immutable , al fine di assicurare la piena capacità di ripristino anche in presenza di un incidente ransomware.

Infine si consiglia di valutare la verifica e l’implementazione, sui propri apparati di sicurezza, degli Indicatori di Compromissione (IoC) ^[1] forniti nell’apposita sezione.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.