نشر مكتب التحقيقات الفيدرالي تقريراً جديداً ليؤكد أن Akira باتت من أكثر مجموعات الفدية تأثيراً خلال العامين الأخيرين، بعد توثيق أكثر من 130 سلالة تستهدف الشركات الأميركية، وتصدرت Akira قائمة الخطر مع رباعية من مجموعات مشابهة ترتبط بأنشطة مالية إجرامية واسعة. ويشير خبراء الأمن الفيدرالي إلى أن المجموعة تعتمد نموذج الابتزاز المزدوج الذي يبدأ بسرقة البيانات قبل تشفيرها، لزيادة الضغط على الضحايا. وتؤكد البيانات الرسمية أن عائدات Akira تجاوزت 244 مليون دولار حتى نهاية سبتمبر، ما يعكس حجم الضرر الذي ألحقته بالشركات الصغيرة والمتوسطة، خصوصاً في الصناعة والتعليم وتقنية المعلومات والرعاية الصحية والخدمات المالية والزراعة.
وتقول السلطات إن أفراداً من المجموعة يرتبطون بأنشطة تعود إلى مجموعات مغيرة في عالم الجريمة السيبرانية، من بينها Storm-1567 وHowling Scorpius وPunk Spider وGold Sahara، مع احتمال وجود صلات سابقة مع مجموعة Conti التي تفككت قبل أعوام. ويشير مكتب التحقيقات الفيدرالي إلى أن Akira تندرج ضمن أكثر 5 سلالات يحقق فيها المكتب حالياً، نتيجة حجم الهجمات وتعقيدها وتنوع أساليبها في اختراق الأنظمة.
ثغرات معروفة وهجمات متسارعة
جاء التقرير الأميركي بالتنسيق مع جهات أوروبية وأخرى في فرنسا وألمانيا وهولندا، متضمناً تفاصيل جديدة حول أدوات Akira وأساليبها في الوصول الأولي للأنظمة، إضافة إلى 6 ثغرات تستغلها المجموعة حالياً، من بينها عيوب في أجهزة Cisco وأنظمة Windows وVMware ESXi ومنصات Veeam Backup and Replication وجدران الحماية من SonicWall. وتوضح السلطات أن المهاجمين يراقبون بشكل مستمر الثغرات المعلنة حديثاً، ويستغلونها تجارياً فور توفرها لتحقيق مكاسب إضافية.
وتشير تقارير بحثية إلى أن Akira نفذت موجة هجمات على نحو 40 جهة عبر استغلال ثغرة CVE-2024-40766 خلال فترة قصيرة بين يوليو وأغسطس، قبل أن تتجدد الهجمات في موجة أخرى استهدفت الضحايا عبر الاستغلال النشط لنفس الخلل. وتؤكد الهيئة الأميركية للأمن السيبراني أن تحديث الإرشادات الجديدة لا يرتبط بحادثة محددة، بل يأتي ضمن تحرك استباقي لتحصين الدفاعات، في ظل تطور الأساليب التي تعتمدها مجموعات هجمات الفدية بوتيرة متصاعدة.
طرق اختراق متعددة وبسرعات عالية
يكشف التقرير أن Akira تعمل بوتيرة سريعة، حيث تمكنت في بعض الحوادث من تنفيذ عمليات تسريب البيانات خلال ما يزيد قليلاً على ساعتين من لحظة الوصول الأولي. ورصدت التحقيقات استخدام المجموعة لبيانات اعتماد مسروقة، وثغرات معروفة، وهجمات brute force وpassword spraying لتنفيذ الاختراقات. كما تعتمد على أدوات وصول عن بعد مثل AnyDesk وLogMeIn للحفاظ على الوجود داخل الأنظمة، إلى جانب إنشاء حسابات جديدة واستخدام أدوات متخصصة لرفع الصلاحيات.
ويشير مكتب التحقيقات الفيدرالي إلى أن مؤشرات الاختراق المرتبطة بـAkira ظهرت في حالات حديثة خلال هذا الشهر، ما يعكس نشاطاً مستمراً للمجموعة وقدرة عالية على التكيف. وتوضح السلطات أن المهاجمين يركزون على ضبط عملياتهم وتعقيدها، ما يجعل التكلفة النهائية على الضحايا تتجاوز بكثير قيمة الفدية نفسها بسبب متطلبات الإصلاح والاستعادة.
في المجمل، يعكس التقرير حجم التهديد الذي تشكله Akira ضمن مشهد هجمات الفدية عالمياً، ويبرز الحاجة إلى تعزيز إجراءات الحماية، وإغلاق الثغرات المعروفة، وتفعيل أنظمة المراقبة المبكرة، خصوصاً مع توسع نشاط المهاجمين وارتفاع مستوى تعقيد عملياتهم.
