Киберугроза Akira: международные органы безопасности предупреждают о новой волне атак на критическую инфраструктуру

Обновленная информация за ноябрь 2025 года свидетельствует о тревожной эскалации. Группировка Akira, связанная с другими известными хакерскими объединениями Storm-1567, Howling Scorpius, Punk Spider и Gold Sahara, теперь демонстрирует повышенный интерес к объектам критической инфраструктуры. Особую озабоченность вызывает их способность быстро адаптировать методы атак к новым технологическим средам.

Технический анализ выявил значительную эволюцию инструментария злоумышленников. В июне 2025 года впервые зафиксирована атака на файлы дисков виртуальных машин Nutanix AHV с использованием уязвимости SonicWall CVE-2024-40766. Это расширило возможности группы за пределы ранее используемых платформ VMware ESXi и Hyper-V. По оценкам экспертов, общий объем полученных выкупов уже превысил 244 миллиона долларов США.

Международное сотрудничество в области кибербезопасности выявило сложную структуру группировки. Авторизованные организации, включая ФБР, CISA (Агентство по кибербезопасности и безопасности инфраструктуры), Europol EC3 и национальные киберцентры европейских стран, отмечают использование Akira разнообразных векторов атаки. В частности, злоумышленники активно эксплуатируют уязвимости в VPN-сервисах без многофакторной аутентификации, включая различные продукты Cisco.

Тактика начального доступа постоянно совершенствуется. Помимо эксплуатации уязвимостей, преступники используют фишинг, компрометацию действительных учетных данных и атаки на внешние сервисы, включая протокол удаленного рабочего стола. Новые наблюдения показывают, что группировка также применяет методы подбора паролей с помощью инструментов вроде SharpDomainSpray и получает доступ через SSH-протокол.

После проникновения в систему Akira демонстрирует высокий уровень изощренности. Злоумышленники создают новые доменные учетные записи, используют методы извлечения учетных данных Kerberoasting и применяют специализированные инструменты для сбора данных аутентификации. Для обнаружения сети и разведки активно задействуются как стандартные сетевые утилиты, так и специализированное программное обеспечение.

Особую озабоченность вызывает способность группы быстро перемещаться по сети и сохранять устойчивое присутствие. Они используют легитимные инструменты удаленного доступа, такие как AnyDesk и LogMeIn, маскируя свою активность под действия администраторов. Для повышения привилегий применяются различные техники, включая создание новых учетных записей с административными правами и обход защиты файлов виртуальных машин.

Современные версии вредоносного программного обеспечения демонстрируют значительную техническую сложность. Гибридная схема шифрования сочетает потоковый шифр ChaCha20 с криптосистемой RSA, обеспечивая быстрый и безопасный обмен ключами. Обновленный вариант Akira_v2, написанный на Rust, предлагает расширенный функционал и улучшенную защиту от анализа.

Эксперты подчеркивают скорость операций группировки. В некоторых инцидентах данные эксфильтровались менее чем за два часа с момента первоначального доступа. Используемая модель двойного шантажа включает как шифрование систем, так и угрозу публикации конфиденциальной информации в сети Tor.

Для противодействия этой растущей угрозе организации должны немедленно принять комплекс защитных мер. Приоритетными являются устранение известных уязвимостей, внедрение устойчивой к фишингу многофакторной аутентификации и поддержание регулярных резервных копий критически важных данных. Особое внимание следует уделить обеспечению автономного хранения копий и регулярной проверке процедур восстановления.

Международные органы безопасности призывают организации сообщать о любой подозрительной активности через Центр жалоб о интернет-преступлениях ФБР или операционный центр CISA. Своевременное информирование позволяет собирать критически важную информацию для противодействия киберпреступности и защиты цифровой инфраструктуры по всему миру.

MD5

• 17c624693f5dd575485ec4286b0ba786
• 24e19d29a47b6b5e1a39bf5e4c313194
• 2fed7579556f01161bb1fdfd1c3e9e6c
• 57d1aeb41d9cfea4d6899724bc4b09a5
• 814310fb7a59f23e3e137ee6fee04fa1
• c56b31c9080b993d57c100b91d096c33

SHA1

• 08cf869a19c76ca718ba80ef73636e7bc38218b8
• 5961a99181df157b81d35a50eeb27f96577a2fa2
• d5efaa22a74aab87d17f8666686b554e41fb389a
• ef328f68c6d865ba4ef4223b5d8ee9efb5667420

SHA256

• 03aa12ac2884251aa24bf0ccd854047de403591a8537e6aba19e822807e06a45
• 0b5b31af5956158bfbd14f6cbf4f1bca23c5d16a40dbf3758f3289146c565f43
• 0c0e0f9b09b80d87ebc88e2870907b6cacb4cd7703584baf8f2be1fd9438696d
• 0d700ca5f6cc093de4abba9410480ee7a8870d5e8fe86c9ce103eec3872f225f
• 0ee1d284ed663073872012c7bde7fac5ca1121403f1a5d2d5411317df282796c
• 131da83b521f610819141d5c740313ce46578374abb22ef504a7593955a65f07
• 18051333e658c4816ff3576a2e9d97fe2a1196ac0ea5ed9ba386c46defafdb88
• 2e88e55cc8ee364bf90e7a51671366efb3dac3e9468005b044164ba0f1624422
• 2f629395fdfa11e713ea8bf11d40f6f240acf2f5fcf9a2ac50b6f7fbc7521c83
• 3298d203c2acb68c474e5fdad8379181890b4403d6491c523c13730129be3f75
• 3a25d3f82651567e5760e48ad06c9f6caab4f9fdc071e98919163b3a71e67168
• 3d2b58ef6df743ce58669d7387ff94740ceb0122c4fc1c4ffd81af00e72e60a4
• 40221e1c2e0c09bc6104548ee847b6ec790413d6ece06ad675fff87e5b8dc1d5
• 4dc9f9684f715f50946e85557b82af80fcb45576efad47eee1bf054c15e570f0
• 58359209e215a9fc0dafd14039121398559790dba9aa2398c457348ee1cb8a4d
• 58afef43cec0ee7a2fbfd9cdd5b71f55f971672d5e523a400b82b98c752ca5b7
• 5e1e3bf6999126ae4aa52146280fdb913912632e8bac4f54e98c58821a307d32
• 5ea65e2bb9d245913ad69ce90e3bd9647eb16d992301145372565486c77568a2
• 643061ac0b51f8c77f2ed202dc91afb9879f796ddd974489209d45f84f644562
• 6f9d50bab16b2532f4683eeb76bd25449d83bdd6c85bf0b05f716a4b49584f84
• 7266e2afb5c70788c018d684698b0940eded4cb863f2b33f4edd31b59d1eab1d
• 74f497088b49b745e6377b32ed5d9dfaef3c84c7c0bb50fabf30363ad2e0bfb1
• 77d48e8c13ce066b197905cc8fc69969af69b74d25f5e95dcd1302ada2e7ccec
• 7f731cc11f8e4d249142e99a44b9da7a48505ce32c4ee4881041beeddb3760be
• 8e12c8eb39cec9a414b56a36acbcc1a5b31dc96a38bc668138a00f94f7c26ea5
• 95477703e789e6182096a09bc98853e0a70b680a4f19fa2bf86cbb9280e8ec5a
• 9585af44c3ff8fd921c713680b0c2b3bbc9d56add848ed62164f7c9b9f23d065
• 9f393516edf6b8e011df6ee991758480c5b99a0efbfd68347786061f0e04426c
• a2df5477cf924bd41241a3326060cc2f913aff2379858b148ddec455e4da67bc
• aaa6041912a6ba3cf167ecdb90a434a62feaf08639c59705847706b9f492015d
• bfd5fc6cd3dea74738ac7025fa14ea844f400708df2293572796568f65bd6b61
• c0f706ff43936c1bb19db4f39b11129c3fc8ddafbd159852475ef99a246b2f79
• c9c94ac5e1991a7db42c7973e328fceeb6f163d9f644031bdfd4123c7b3898b0
• cf3465d7e49b609defa1e2b6cfcc86ffa30c72246cb2744dbf50736c5f3d74d5
• cfa209d56e296c40b32815270060e539963d68cda3285c5f393c97eb3c960d37
• d2fd0654710c27dcf37b6c1437880020824e161dd0bf28e3a133ed777242a0ca
• dcfa2800754e5722acf94987bb03e814edcb9acebda37df6da1987bf48e5b05e
• dfe6fddc67bdc93b9947430b966da2877fda094edf3e21e6f0ba98a84bc53198
• e1321a4b2b104f31aceaf4b19c5559e40ba35b73a754d3ae13d8e90c53146c0f
• fef09b0aa37cbdb6a8f60a6bd8b473a7e5bffdc7fd2e952444f781574abccf64
• ffd9f58e5fe8502249c67cad0123ceeeaa6e9f69b4ec9f9e21511809849eb8fc

• aa24-109a-stopransomware-akira-ransomware_3.pdf