SOC Prime Bias: Alta

24 Nov 2025 19:49
newspaper icon AttackIQ

Ransomware Akira: Risposta all’avviso AA24-109A del CISA

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Ransomware Akira: Risposta all’avviso AA24-109A del CISA
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Ransomware Akira: Risposta al Comunicato CISA AA24-109A SOMMARIO

Il comunicato delinea l’operazione ransomware Akira, una minaccia Ransomware-as-a-Service (RaaS) che crittografa e sottrae i dati delle vittime prima della crittografia. Osservato per la prima volta a marzo 2023, Akira è rapidamente salito alla ribalta ed è ritenuto condividere linee di codice con la famiglia di ransomware Conti. Il documento dettaglia le tattiche, tecniche e procedure del gruppo, inclusi attacchi brute-force contro RDP, dumping delle credenziali, e affidamento a un portale leak ospitato su TOR. Le vittime sono generalmente pressate a pagare sia per le chiavi di decrittazione sia per la promessa di cancellazione dei dati sottratti.

Indagine

Un’indagine coordinata da CISA, FBI, NCSC-NL e diversi partner delle forze dell’ordine europee ha aggiornato il profilo di minaccia di Akira fino a novembre 2025. Le scoperte tecniche evidenziano la persistenza attraverso la creazione di nuovi account locali, ampio riconoscimento mediante API native di Windows, e l’uso di utility per il furto di credenziali come Mimikatz, LaZagne e Rubeus. La crittografia dei file è implementata con l’algoritmo ChaCha20, con chiavi protette usando RSA-4096.

Mitigazione del Ransomware Akira

Le priorità difensive includono l’applicazione di credenziali RDP forti e uniche, il monitoraggio per la creazione di account inusuale e l’attività di enumerazione di privilegi, e il blocco degli strumenti offensivi comunemente abusati. Le organizzazioni dovrebbero mantenere backup regolari e testati, disabilitare i servizi non essenziali e implementare controlli basati sull’host per prevenire il dumping della memoria LSASS. Ulteriori salvaguardie includono il filtraggio del traffico TOR al perimetro della rete e il tracciamento della possibile esfiltrazione di dati verso infrastrutture .onion.

Risposta

Quando si sospetta un’attività di Akira, isolare immediatamente l’host colpito, acquisire immagini di memoria e disco, e conservare tutti gli indicatori di compromissione rilevanti. Resettare le credenziali esposte, rimuovere gli account non autorizzati e ripristinare i sistemi da backup affidabili e verificati. Una revisione forense approfondita dovrebbe tracciare i percorsi di movimento laterale e punti di pivot, con risultati segnalati alle autorità competenti e ai partner di condivisione delle informazioni.

mermaid graph TB %% Class Definitions classDef technique fill:#e6f5ff %% Nodes – Techniques tech_bruteforce[“<b>Tecnica</b> – <b>T1110.004 Brute Force – Rimpiazzo di Credenziali</b><br/><b>Descrizione</b>: L’attaccante tenta di effettuare il login utilizzando un gran numero di credenziali precedentemente compromesse su un servizio remoto.”] class tech_bruteforce technique tech_rdp[“<b>Tecnica</b> – <b>T1021.001 Servizi Remoti: RDP</b><br/><b>Descrizione</b>: Uso del Protocollo Remote Desktop per stabilire una sessione interattiva remota.”] class tech_rdp technique tech_createacct[“<b>Tecnica</b> – <b>T1136.001 Creazione di Account: Account Locale</b><br/><b>Descrizione</b>: L’avversario crea un nuovo account utente locale per persistenza o escalation di privilegi.”] class tech_createacct technique tech_localgroup[“<b>Tecnica</b> – <b>T1069.001 Scoperta dei Gruppi di Permessi: Gruppi Locali</b><br/><b>Descrizione</b>: Enumera le appartenenze ai gruppi locali per identificare account privilegiati.”] class tech_localgroup technique tech_domaingroup[“<b>Tecnica</b> – <b>T1069.002 Scoperta dei Gruppi di Permessi: Gruppi di Dominio</b><br/><b>Descrizione</b>: Enumera le appartenenze ai gruppi di dominio per individuare gruppi privilegiati aggiuntivi.”] class tech_domaingroup technique tech_processdisc[“<b>Tecnica</b> – <b>T1057 Scoperta di Processi</b><br/><b>Descrizione</b>: Utilizza utility come tasklist per elencare i processi in esecuzione sull’host.”] class tech_processdisc technique tech_remotesysdisc[“<b>Tecnica</b> – <b>T1018 Scoperta di Sistemi Remoti</b><br/><b>Descrizione</b>: Identifica sistemi remoti, ad esempio i controller di dominio, utilizzando strumenti come nltest.”] class tech_remotesysdisc technique tech_trustdisc[“<b>Tecnica</b> – <b>T1482 Scoperta della Fiducia di Dominio</b><br/><b>Descrizione</b>: Interroga relazioni di dominio fidato usando nltest trusted_domains.”] class tech_trustdisc technique tech_kerberoast[“<b>Tecnica</b> – <b>T1558.003 Kerberoasting</b><br/><b>Descrizione</b>: Estrae ticket di servizio e li cracca offline, spesso con strumenti come Rubeus.”] class tech_kerberoast technique tech_lsassdump[“<b>Tecnica</b> – <b>T1003.001 Dumps delle Credenziali di Sistema</b><br/><b>Descrizione</b>: Dump della memoria LSASS tramite comsvcs.dll e Mimikatz per ottenere credenziali in chiaro.”] class tech_lsassdump technique tech_regdump[“<b>Tecnica</b> – <b>T1003.002 Dump del Registro di Sistema</b><br/><b>Descrizione</b>: Salva l’hive di registro SYSTEM (ad esempio, usando reg save) per l’analisi offline.”] class tech_regdump technique tech_wmiexec[“<b>Tecnica</b> – <b>T1047 Strumentazione di Gestione Windows</b><br/><b>Descrizione</b>: Esegue comandi in remoto tramite WMI, comunemente usando utility come wmiexec.”] class tech_wmiexec technique tech_rdp_lateral[“<b>Tecnica</b> – <b>T1021.001 Servizi Remoti: RDP (Laterale)</b><br/><b>Descrizione</b>: Si sposta lateralmente verso host aggiuntivi tramite connessioni Remote Desktop Protocol.”] class tech_rdp_lateral technique tech_ssh[“<b>Tecnica</b> – <b>T1021.004 Servizi Remoti: SSH</b><br/><b>Descrizione</b>: Sistema di fallback a Secure Shell per movimento laterale quando RDP non è disponibile.”] class tech_ssh technique tech_sysinfo[“<b>Tecnica</b> – <b>T1082 Scoperta delle Informazioni di Sistema</b><br/><b>Descrizione</b>: Raccoglie dettagli sul sistema operativo e l’hardware usando comandi come GetSystemInfo.”] class tech_sysinfo technique tech_queryreg[“<b>Tecnica</b> – <b>T1012 Consulta il Registro</b><br/><b>Descrizione</b>: Legge i valori di registro come MachineGUID per identificare univocamente l’host.”] class tech_queryreg technique tech_filedisc[“<b>Tecnica</b> – <b>T1083 Scoperta di File e Directory</b><br/><b>Descrizione</b>: Enumera file e directory utilizzando chiamate API FindFirstFile/FindNextFile.”] class tech_filedisc technique tech_logdrive[“<b>Tecnica</b> – <b>T1680 Scoperta delle Unità Logiche</b><br/><b>Descrizione</b>: Recupera lettere delle unità logiche e tipi tramite GetLogicalDriveStringsW e GetDriveTypeW.”] class tech_logdrive technique tech_permmod[“<b>Tecnica</b> – <b>T1222.001 Modifica delle Autorizzazioni di File e Directory</b><br/><b>Descrizione</b>: Modifica gli ACL su file o directory usando icacls per abilitare ulteriori accessi.”] class tech_permmod technique tech_inhibitrec[“<b>Tecnica</b> – <b>T1490 Inibire il Recupero di Sistema</b><br/><b>Descrizione</b>: Elimina le copie shadow dei volumi tramite WMI per prevenire il ripristino.”] class tech_inhibitrec technique tech_encrypt[“<b>Tecnica</b> – <b>T1486 Dati Crittografati per Impatto</b><br/><b>Descrizione</b>: Crittografa i dati delle vittime usando crittografia simmetrica ChaCha20 e RSA‑4096 per la protezione delle chiavi.”] class tech_encrypt technique %% Connections – Attack Flow tech_bruteforce u002du002d>|porta_a| tech_rdp tech_rdp u002du002d>|porta_a| tech_createacct tech_createacct u002du002d>|porta_a| tech_localgroup tech_localgroup u002du002d>|porta_a| tech_domaingroup tech_domaingroup u002du002d>|porta_a| tech_processdisc tech_processdisc u002du002d>|porta_a| tech_remotesysdisc tech_remotesysdisc u002du002d>|porta_a| tech_trustdisc tech_trustdisc u002du002d>|porta_a| tech_kerberoast tech_kerberoast u002du002d>|porta_a| tech_lsassdump tech_lsassdump u002du002d>|porta_a| tech_regdump tech_regdump u002du002d>|porta_a| tech_wmiexec tech_wmiexec u002du002d>|porta_a| tech_rdp_lateral tech_rdp_lateral u002du002d>|porta_a| tech_ssh tech_ssh u002du002d>|porta_a| tech_sysinfo tech_sysinfo u002du002d>|porta_a| tech_queryreg tech_queryreg u002du002d>|porta_a| tech_filedisc tech_filedisc u002du002d>|porta_a| tech_logdrive tech_logdrive u002du002d>|porta_a| tech_permmod tech_permmod u002du002d>|porta_a| tech_inhibitrec tech_inhibitrec u002du002d>|porta_a| tech_encrypt

Flusso di Attacchi

Esecuzione della Simulazione

Prerequisito: Il Controllo di Prevolo per Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione riflettono direttamente i TTP identificati e generano la telemetria esatta attesa dalla logica di rilevamento.

  • Narrazione e Comandi dell’Attacco:
    L’operatore del ransomware si prepara a crittografare una directory di documenti utente. Innanzitutto, assicurano che i file siano completamente accessibili al processo di ransomware concedendoTuttiil controllo completo usandoicacls.exe. Questo è un classico passaggio “concedi-accesso-completo prima della crittografia”, corrispondente alla tecnica MITRET1222.001. L’attaccante esegue il comando da un contesto a bassa privilegi ma si affida al fatto cheicacls.exepossa modificare gli ACL se il processo ha permessi sufficienti (ad esempio, eseguendo come SISTEMA tramite un’attività pianificata).

    # Percorso alla directory target
$target = "C:UsersPublicDocumentsSensitiveData"

# Garantire ricorsivamente il controllo completo a Tutti
icacls.exe "$target*" /grant *S-1-1-0:F /T /C

    Il comando sopra crea un evento Sysmon ProcessCreate doveImmaginetermina conicacls.exe, soddisfacendo la regola di rilevamento.

  • Script di Test di Regressione:

    # ---------------------------------------------------------------
# Test di Regressione – Modifica delle Autorizzazioni Icacls (T1222.001)
# ---------------------------------------------------------------
# Creare una directory di test temporanea
$testDir = "$env:TEMPIcaclsTest"
New-Item -Path $testDir -ItemType Directory -Force | Out-Null

# Popolare con file fittizi
1..5 | ForEach-Object {
    New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null
}

# Eseguire icacls per concedere a Tutti il controllo completo (ciò dovrebbe attivare la regola)
icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C

# Pausa per consentire l'ingestione SIEM
Start-Sleep -Seconds 10

# Fine dello script

  • Comandi di Pulizia:

    # ---------------------------------------------------------------
# Pulizia – Rimuovere le modifiche di test agli ACL e cancellare i dati di test
# ---------------------------------------------------------------
$testDir = "$env:TEMPIcaclsTest"

# Resettare le autorizzazioni ai valori predefiniti (rimuovere la concessione a Tutti)
icacls.exe "$testDir*" /reset /T /C

# Eliminare la directory di test
Remove-Item -Path $testDir -Recurse -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis