Cảnh báo an ninh mạng mới đây từ các cơ quan liên bang đã tiết lộ rằng chiến dịch của mã độc ransomware Akira đang leo thang đáng kể. Nhóm này đã xâm nhập vào nhiều tổ chức trên toàn cầu và tích lũy được số tiền chuộc khổng lồ thông qua các phương pháp tấn công tinh vi.
Theo cảnh báo chung AA24-109A StopRansomware: Akira Ransomware, được phát hành vào ngày 13 tháng 11 năm 2025 bởi FBI, CISA, DC3, HHS và các đối tác thực thi pháp luật quốc tế từ châu Âu, các tác nhân đe dọa Akira đã tác động đến các doanh nghiệp và thực thể cơ sở hạ tầng quan trọng tại Bắc Mỹ, châu Âu và Úc kể từ tháng 3 năm 2023.
Tính đến cuối tháng 9 năm 2025, chiến dịch ransomware này đã thu về khoảng 244,17 triệu USD tổng số tiền chuộc.
Tổng quan về mã độc ransomware Akira
Liên kết và mục tiêu chính
Các tác nhân đe dọa liên quan đến các nhóm như Storm-1567, Howling Scorpius, Punk Spider và Gold Sahara có thể có liên hệ với nhóm ransomware Conti đã giải thể. Akira chủ yếu nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ, nhưng cũng đã xâm nhập thành công vào các tổ chức lớn hơn trên nhiều lĩnh vực.
Các ngành công nghiệp bị ảnh hưởng bao gồm sản xuất, tổ chức giáo dục, công nghệ thông tin, y tế và sức khỏe cộng đồng, dịch vụ tài chính, cùng với các tổ chức thực phẩm và nông nghiệp.
Sự tiến hóa trong kỹ thuật tấn công
Các nhà điều hành Akira đã thể hiện khả năng thích ứng đáng kể trong các kỹ thuật tấn công của họ. Ban đầu, nhóm này tập trung vào các hệ thống Windows với một biến thể được mã hóa bằng C++, mã hóa các tệp với phần mở rộng .akira.
Đến tháng 4 năm 2023, nhóm đã triển khai một biến thể Linux nhắm mục tiêu vào các máy ảo VMware ESXi. Vào tháng 8 năm 2023, một số cuộc tấn công bắt đầu triển khai trình mã hóa Megazord dựa trên Rust, thêm phần mở rộng .powerranges vào các tệp đã mã hóa.
Một bước phát triển quan trọng là vào tháng 6 năm 2025, các tác nhân Akira đã lần đầu tiên mã hóa các tệp đĩa VM của Nutanix AHV, mở rộng khả năng của họ ngoài VMware ESXi và Hyper-V bằng cách khai thác một lỗ hổng CVE cụ thể: CVE-2024-40766 trong SonicWall. Ngoài ra, nhóm cũng triển khai biến thể Akira_v2 nâng cao khả năng mã hóa và kỹ thuật né tránh.
Kỹ thuật truy cập ban đầu và khai thác lỗ hổng
Cảnh báo nhấn mạnh rằng các nhà điều hành Akira chủ yếu giành quyền truy cập ban đầu thông qua các mạng riêng ảo (VPN) không được cấu hình xác thực đa yếu tố (MFA).
Lỗ hổng CVE bị khai thác
Akira khai thác nhiều lỗ hổng đã biết trong các sản phẩm của Cisco, bao gồm:
- CVE-2020-3259
- CVE-2023-20269
- CVE-2020-3580
- CVE-2023-28252
- CVE-2024-37085
Các mục tiêu khai thác bổ sung bao gồm CVE-2023-27532, CVE-2024-40711, và CVE-2024-40766. Thông tin chi tiết về các lỗ hổng này có thể được tìm thấy trên National Vulnerability Database (NVD).
Các phương pháp truy cập khác
Ngoài việc khai thác lỗ hổng, các tác nhân đe dọa còn sử dụng các chiến dịch lừa đảo spearphishing, lạm dụng thông tin đăng nhập bị đánh cắp (có thể lấy được từ các nhà môi giới truy cập ban đầu), triển khai kỹ thuật password spraying bằng các công cụ như SharpDomainSpray và tận dụng các cuộc tấn công brute-force chống lại các điểm cuối VPN và SSH.
Trong một số sự cố, các nhà điều hành Akira đã khai thác các lỗ hổng công khai trong các máy chủ sao lưu Veeam chưa được vá để truy cập ban đầu.
Hoạt động sau khai thác và duy trì quyền kiểm soát
Thiết lập duy trì và di chuyển ngang
Khi đã vào trong mạng, các tác nhân Akira di chuyển với tốc độ đáng báo động. Trong một số sự cố được ghi nhận, các nhà điều hành đã đánh cắp dữ liệu chỉ trong hơn hai giờ kể từ khi truy cập ban đầu. Chúng thiết lập duy trì bằng cách tạo các tài khoản miền và tài khoản cục bộ mới, thường tạo một tài khoản quản trị có tên là “itadm”.
Các tác nhân đe dọa sử dụng các kỹ thuật hậu khai thác như Kerberoasting để trích xuất thông tin đăng nhập và sử dụng các công cụ như Mimikatz và LaZagne để thu thập thông tin đăng nhập. Để di chuyển ngang và duy trì quyền truy cập, các nhà điều hành lạm dụng các công cụ truy cập từ xa hợp pháp như AnyDesk, LogMeIn, RDP, SSH và MobaXterm.
Né tránh phòng thủ
Akira thường tắt phần mềm bảo mật bằng cách sử dụng PowerTool để khai thác trình điều khiển Zemana AntiMalware và chấm dứt các quy trình liên quan đến phần mềm diệt virus. Chúng cũng được quan sát thấy đã gỡ cài đặt hoàn toàn các hệ thống phát hiện và phản hồi điểm cuối (EDR).
Mô hình tống tiền kép và kỹ thuật mã hóa
Akira sử dụng một mô hình tống tiền kép tinh vi, kết hợp mã hóa dữ liệu với các mối đe dọa rò rỉ thông tin nhạy cảm. Mã độc ransomware này sử dụng một lược đồ mã hóa lai liên quan đến thuật toán mã hóa luồng ChaCha20 với hệ thống mật mã khóa công khai RSA để trao đổi khóa nhanh chóng và an toàn.
Để ngăn chặn thêm việc khôi phục hệ thống, trình mã hóa sẽ xóa các bản sao Volume Shadow Copy Service trên các hệ thống Windows.
Kỹ thuật rò rỉ dữ liệu và C2
Để rò rỉ dữ liệu, các tác nhân đe dọa sử dụng các công cụ bao gồm FileZilla và WinRAR để thu thập, và WinSCP cùng RClone để rò rỉ đến các dịch vụ lưu trữ đám mây như Mega. Chúng thiết lập các kênh Command and Control (C2) bằng cách sử dụng các công cụ có sẵn và tạo các đường hầm bảo mật với Ngrok để rò rỉ dữ liệu.
Nạn nhân được cung cấp một mã duy nhất và hướng dẫn liên hệ với các tác nhân đe dọa thông qua một URL .onion có thể truy cập qua mạng Tor.
Biện pháp phòng ngừa và cập nhật bản vá
Các tổ chức liên quan đã nhấn mạnh một số biện pháp giảm thiểu quan trọng mà các tổ chức cần thực hiện ngay lập tức.
Hành động ưu tiên
- Khắc phục các lỗ hổng đã biết bị khai thác.
- Kích hoạt và thực thi xác thực đa yếu tố (MFA) chống lừa đảo cho tất cả các dịch vụ.
- Duy trì các bản sao lưu ngoại tuyến thường xuyên của dữ liệu quan trọng và thường xuyên kiểm tra khả năng khôi phục.
Khuyến nghị bổ sung
- Triển khai phân đoạn mạng để ngăn chặn sự lây lan của ransomware.
- Triển khai các công cụ giám sát mạng để xác định hoạt động bất thường.
- Thực hiện quyền truy cập dựa trên thời gian cho các tài khoản quản trị.
- Đảm bảo tất cả dữ liệu sao lưu được mã hóa và không thể thay đổi (immutable).
- Vô hiệu hóa các cổng không sử dụng.
- Yêu cầu mật khẩu dài tối thiểu 15 ký tự.
- Thực hiện khóa tài khoản sau nhiều lần đăng nhập không thành công.
- Kiểm toán các tài khoản người dùng có đặc quyền quản trị theo nguyên tắc đặc quyền tối thiểu (least privilege).
Cảnh báo cũng lưu ý rõ ràng rằng các cơ quan liên bang không khuyến khích trả tiền chuộc, vì việc thanh toán không đảm bảo khôi phục tệp và có thể khuyến khích kẻ thù nhắm mục tiêu vào các tổ chức khác.
Các tổ chức được khuyến nghị báo cáo ngay lập tức các sự cố ransomware cho Trung tâm Khiếu nại Tội phạm Internet của FBI (IC3), các văn phòng FBI địa phương, hoặc Trung tâm Hoạt động 24/7 của CISA.
