Barracuda full logo

I file dei casi SOC: Il ransomware Akira trasforma lo strumento di gestione remota della vittima contro se stessa

Argomenti:
25 set 2025
|
Yuvashree Murugan

Il team Managed XDR di Barracuda ha recentemente mitigato un attacco ransomware Akira che ha tentato di eludere il rilevamento sfruttando strumenti nell'infrastruttura del bersaglio piuttosto che portare il proprio arsenale noto, mascherando la sua attività dannosa come normale attività IT.

Come si è svolto l'attacco

Approfittando di una festività nazionale, i criminali informatici armati di Akira ransomware, un kit Ransomware-as-a-Service (RaaS) versatile e opportunistico, hanno preso di mira la rete di un'organizzazione poco prima delle 4:00.

Gli attaccanti hanno ottenuto l'accesso a un controller di dominio (DC), un server critico responsabile dell'autenticazione e della convalida dell'accesso degli utenti alle risorse di rete come file e applicazioni. Lo strumento di monitoraggio e gestione remota (RMM) di Datto è stato installato sul server DC.

Gli attaccanti hanno utilizzato un approccio noto come Living Off The Land (LOTL), che prevede l'uso di set di strumenti preinstallati e legittimi per condurre un attacco.

Si sono concentrati sulla console di gestione dello strumento RMM e l'hanno utilizzata, insieme a diversi agenti di backup precedentemente installati, per attuare l'attacco senza attivare un avviso di sicurezza per una nuova installazione software o attività sospetta.

La catena di attacco Akira RMM

  • Gli attaccanti hanno utilizzato Datto RMM per inviare ed eseguire da remoto uno script PowerShell dalla sua cartella Temp, eseguendolo con un 'execution policy bypass' che gli ha permesso di ignorare i controlli di sicurezza integrati di PowerShell.
  • Lo script è stato eseguito con privilegi a livello di sistema, conferendogli il pieno controllo sul server infetto.
  • Poco dopo, i comandi PowerShell codificati sono stati utilizzati per eseguire strumenti aggiuntivi e diversi file eseguibili sconosciuti (binari) sono stati collocati in directory Windows affidabili per evitare sospetti.
  • Questi file includevano alcuni script camuffati, uno script progettato per manipolare le regole del firewall e uno che era stato nascosto in una directory non standard, probabilmente un'area di staging creata da un attaccante.
  • Sono state apportate modifiche al registro per aiutare l'attaccante a rimanere nascosto o disattivare le funzionalità di sicurezza.
  • Il Volume Shadow Copy Service (VSSVC.exe) è stato arrestato sul controller di dominio pochi minuti prima che iniziasse la crittografia dei file. Questo viene spesso fatto durante la normale manutenzione IT, ma viene anche utilizzato negli attacchi ransomware come precursore della crittografia perché elimina le copie che altrimenti potrebbero essere utilizzate per ripristinare i file.
  • Alle 4:54, il payload ransomware ha iniziato a crittografare i file, modificandoli con l'estensione .akira estensione.

Fortunatamente, il controller di dominio era protetto con Barracuda Managed XDR Endpoint Security.

La primissima crittografia di file è stata rilevata istantaneamente dalla regola di crittografia personalizzata di XDR, portando all'isolamento immediato del dispositivo interessato e alla fine dell'attacco.

Risultati chiave

  • Gli attaccanti non hanno distribuito nuovo malware sofisticato o strumenti che avrebbero immediatamente sollevato bandiere rosse. Invece, hanno utilizzato ciò che era già presente: il Datto RMM e gli agenti di backup, strumenti fidati installati sugli endpoint.
  • Allo stesso modo, l'attività dell'attaccante rispecchiava da vicino ciò che un agente di backup potrebbe legittimamente fare durante i lavori programmati. Questo faceva sembrare tutto come normale attività IT.
  • Akira è un RaaS astuto e inventivo: gli sviluppatori dietro il malware non seguono un copione fisso. Le loro tattiche cambiano regolarmente, il che rende più difficile catturarli nelle fasi iniziali di un attacco perché non corrispondono alle firme di attacco conosciute.
  • Per proteggere efficacemente gli ambienti IT da attacchi vari e versatili, una copertura XDR completa che si estende su endpoint, rete, server, cloud e altro ancora offre ai team SOC visibilità completa e la capacità di rilevare e neutralizzare le minacce il prima possibile nel ciclo di vita dell'attacco.

Ripristina e recupera

Una volta che la minaccia è stata neutralizzata, il team di Barracuda Managed XDR ha collaborato con il cliente per implementare quanto segue:

  • Isolare tutti i dispositivi impattati a livello organizzativo
  • Attiva i rollback per tutte le minacce rilevate nell'organizzazione
  • Esegui una scansione approfondita degli indicatori di compromissione (IOC) per rilevare eventuali artefatti residui legati ad Akira.
  • Confermare il successo del rollback e la stabilità dell'endpoint, riavviando i dispositivi come necessario per completare il rollback.
  • Rivedere e collaborare con il cliente per rafforzare le politiche degli endpoint dopo l'incidente
  • Convalida tutte le azioni attraverso i playbook SOAR

Barracuda Managed XDR aiuta a rilevare e mitigare tali incidenti. Monitora continuamente gli endpoint e l'attività di rete per individuare comportamenti anomali come eliminazione inaspettata di file e modifiche al registro. Managed XDR fornisce inoltre capacità di risposta agli incidenti rapida, garantendo un rapido contenimento e rimedio delle minacce identificate. Log dettagliati e analisi forense aiutano a tracciare l'origine e l'entità dell'attacco, consentendo misure strategiche di prevenzione futura.

Integrandosi con il rilevamento e la risposta degli endpoint (EDR), Managed XDR migliora la visibilità nei sistemi isolati e offre approfondimenti utili per la mitigazione. La caccia proattiva alle minacce supportata da Managed XDR aiuta a individuare i meccanismi di persistenza e a eliminarli prima che gli attaccanti ottengano un accesso continuato.

Visita il sito web per ulteriori informazioni su Barracuda Managed XDR e SOC. Per le ultime novità su nuove funzionalità, aggiornamenti e nuove rilevazioni per Barracuda Managed XDR, consulta le note di rilascio più recenti.

Gli strumenti e le tecniche principali utilizzati in questo attacco

Indicatori di compromissione

Stai un passo avanti agli hacker con la sicurezza informatica gestita 24 ore su 24, 7 giorni su 7.
Yuvashree Murugan

Yuvashree Murugan è un Endpoint Security Engineer presso Barracuda, è appassionato di rilevamento delle minacce e risposta agli indicenti, e si occupa anche di trasformare catene di attacco complesse in difese chiare e attuabili.

Post correlati:
AI and automation in cybersecurity: Databricks & Barracuda experts share what’s next
AI and automation in cybersecurity: Databricks & Barracuda experts share what’s next
 Prossimamente: La tua occasione per assumere il ruolo dell'hacker
Prossimamente: La tua occasione per assumere il ruolo dell'hacker
 I ritardi nelle violazioni delle e-mail possono moltiplicare per otto il rischio di ransomware.
I ritardi nelle violazioni delle e-mail possono moltiplicare per otto il rischio di ransomware.
 La difesa vince i campionati: Cosa ci insegnano gli sport sulla sicurezza informatica
La difesa vince i campionati: Cosa ci insegnano gli sport sulla sicurezza informatica
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.