Изображение: recraft
14 ноября правительственные структуры США совместно с международными киберцентрaми опубликовали отчёт, в котором отражён масштаб ущерба от деятельности группировки, использующей вирус-вымогатель Akira. Согласно представленным данным, с конца сентября 2025 года через механизмы вымогательства было получено не менее 244,17 млн долларов. В ряде случаев компрометация инфраструктуры и изъятие данных происходили менее чем за 2 часа с момента первоначального доступа.
Авторы документа фиксируют серьёзную эволюцию тактик. Если ранее операторы Akira ориентировались на взлом сред VMware ESXi и Hyper‑V, то с июня 2025 года они начали атаковать виртуальные машины Nutanix AHV, что свидетельствует о расширении технических возможностей.
Ключевым вектором атаки в этом периоде стала уязвимость SonicWall CVE‑2024‑40766. Через неё операторы получали доступ к сетям, в том числе к конфигурациям VPN-продуктов. При этом фиксировались случаи атак даже на системы с установленными обновлениями, что свидетельствует о применении сложных техник обхода стандартной защиты. Помимо эксплойтов, активно применялись украденные учётные данные, в том числе полученные через брокеров начального доступа (IAB), а также методы подбора паролей и перебора конечных точек VPN.
Производитель SonicWall ранее рекомендовал клиентам, перенёсшим настройки из старой линейки Gen 6, обновиться до версии SonicOS 7.3, которая предлагает встроенную защиту от обхода многофакторной аутентификации и атак методом перебора.
В отчёте также упоминается, что часть атак начиналась с SSH-доступа через IP-адреса маршрутизаторов. После проникновения злоумышленники эксплуатировали уязвимости в незащищённых сервисах резервного копирования Veeam, особенно в компонентах Veeam Backup and Replication. Это позволяло переходить от внешнего вторжения к глубокому управлению внутренней инфраструктурой.
Akira активно применяет легальные инструменты удалённого администрирования — LogMeIn, AnyDesk и другие. Через них поддерживается скрытое присутствие, часто имитируя действия штатных администраторов. Для выполнения удалённых команд в локальных сетях используется Impacket и его модуль wmiexec.py, предоставляющий возможность обходить средства защиты, не вызывая срабатывания сигнатур.
Для укрепления позиций внутри взломанной системы операторы создают новые учётные записи и добавляют их в локальные администраторские группы. Это позволяет сохранять контроль и возобновлять доступ даже после частичной зачистки инфраструктуры.
Оригинал публикации на сайте CISOCLUB: "Выручка от атак с применением вируса Akira превысила 244 млн долларов и продолжает расти".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.