Il ransomware Akira è emerso durante la primavera del 2023 e si è guadagnato rapidamente spazio ovunque nel mondo anche perché opera secondo il modello Ransomware-as-a-Service ed è quindi appannaggio di qualsiasi organizzazione voglia farne uso.
Prende di mira ambienti Linux, Windows e non risparmia le macchine virtuali VMware ESXi.
Nel corso dei primi 5 mesi del 2025 il ransomware Akira ha fatto poco meno di 300 vittime e, in precedenza, ha dato da filo da torcere a diverse organizzazioni, tra le quali spiccano Nissan Australia, l’Università di Stanford e la software house finlandese Tietoevry.
In particolare, questo ultimo attacco ha causato problemi a cascata tra i clienti dell’azienda con sede a Helsinki, tra i quali figurano anche diversi dipartimenti pubblici.
Con il passare dei mesi, così come certificato lo scorso 18 aprile dall’ America’s Cyber Defense Agency (CISA), Akira si sta focalizzando sulle Pmi perché sono le meno resilienti agli attacchi.
Si osserva uno scostamento degli interessi primari dei gruppi di cyber criminali che ricorrono ai ransomware: le grandi organizzazioni sono le più remunerative ma sono anche le più ostiche da violare e le più ritrose a cedere alle richieste di riscatto.
Al contrario, le Pmi, sono generalmente le meno dotate di sistemi cyber e più elastiche nel versare ai criminali le somme richieste. Pretendere riscatti meno esosi e aumentare il numero di vittime sembra essere la strada imboccata dal cyber crimine.
Indice degli argomenti
Cosa sapere su Akira
Il ransomware, come detto, colpisce piattaforme Linux e Windows e applica tecniche di doppia estorsione esfiltrando i dati prima di crittografarli per poi minacciare le vittime di pubblicare i dati sottratti se queste rifiutano di pagare il riscatto.
Akira si guadagna l’accesso ai sistemi sfruttando vulnerabilità di diverso tipo, quali canali VPN aperti o l’assenza di autenticazione a più fattori.
In seguito, fa leva su tecniche utili all’ottenimento di credenziali appropriate per muoversi lateralmente nelle reti al fine di indentificare e compromettere altri sistemi, disattivando antivirus e software per la cyber security.
Dopo avere esfiltrato i dati, Akira li cifra lasciando alle vittime le istruzioni utili al pagamento del riscatto.
Akira usa l’algoritmo di cifratura simmetrica ChaCha20 (il medesimo adottato dal ransomware Ymir nel 2021) e la chiave pubblica RSA-4096. Ciò significa che decifrare i file senza le opportune chiavi è molto difficile e il pagamento del riscatto diventa la via più facilmente percorribile.
Il grafico sopra, i cui dati sono aggiornati al 10 maggio 2025, evidenzia come i tre ransomware più diffusi sul piano globale (Clop, Akira e Ransomhub), da soli, superino per numero le vittime di tutti i ransomware al di fuori della Top 20. Questo restituisce una misura certa della loro pericolosità in un panorama di minacce variegato e dinamico.
Akira e la mitigazione
Akira e i ransomware in genere sono spine nel fianco di qualsiasi organizzazione. Oltre a interrompere l’operatività, creano danni economici e reputazionali che hanno una gittata lunga e non si risolvono né pagando il riscatto né ripristinando la situazione utilizzando le opportune chiavi di decifrazione.
La mitigazione e la prevenzione passano per misure di diverso tenore. L’uso di soluzioni di sicurezza per il rilevamento e la risposta alle minacce (EDR) può sembrare proibitivo per una Pmi e, a prescindere, ci sono misure che sono alla portata di tutti e, tra queste, spiccano:
- La formazione del personale
- L’aggiornamento costante dei sistemi e dei software
- L’autenticazione a più fattori.
Questi accorgimenti, per quanto utili, possono non essere sufficienti a scongiurare il peggio. Per questo motivo abbiamo chiesto a Domenico Campeglia, Ceo di CyberGuardX e formatore in sicurezza, di fornire consigli e raccomandazioni a vantaggio delle realtà imprenditoriali meno grandi.
Le soluzioni a portata di tutti
Non tutte le Pmi possono destinare budget di spessore alla cyber security che rimane però essenziale per la sopravvivenza di qualsivoglia organizzazione.
Come spiega Domenico Campeglia, si può creare un buon assetto difensivo a costi ragionevoli: “Quando parliamo di difesa ‘a misura di Pmi’ l’idea è mettere in campo soluzioni semplici, sostenibili e – soprattutto – realmente efficaci.
Il primo pilastro resta il backup: basta un NAS che scatti snapshot immutabili e replichi i dati verso un object-storage in cloud con la funzione ‘Object Lock’ per ottenere copie che nessuno può cancellare, nemmeno un ransomware.
L’investimento è contenuto rispetto al beneficio, perché la continuità operativa dipende in larga parte proprio da quei backup”.
Oltre agli accorgimenti già citati, Campeglia offre altri consigli: “Il secondo tassello è il monitoraggio costante: affidarsi a un servizio di Managed Detection & Response significa avere un ‘SOC in affitto’ che vigila 24 ore su 24 su pc, server e host virtuali, inviando avvisi in tempo reale e aiutando nel contenimento degli incidenti senza appesantire la struttura con assunzioni costose.
A questo punto serve blindare gli accessi: abilitare l’autenticazione a più fattori su VPN, RDP, portali SaaS e posta elettronica blocca la maggior parte dei tentativi d’intrusione che partono da credenziali rubate o riciclate.
In parallelo, un sistema di patch management automatizzato – oggi disponibile anche in versione gratuita via piattaforme RMM cloud – riduce la finestra di vulnerabilità mantenendo aggiornati sistemi operativi e software di terze parti. Sul fronte della posta e della navigazione, chi utilizza Microsoft 365 Business Premium può semplicemente attivare Defender già incluso; chi opera in ambienti diversi può adottare un Secure Email Gateway in cloud, un servizio che filtra phishing, malware e link malevoli con una spesa del tutto accessibile”.
La configurazione delle parti di rete e la cura dell’infrastruttura IT sono parte integrante del mosaico: “La rete interna merita poi un minimo di ‘architettura difensiva’: separare le aree critiche, per esempio i server di produzione e i repository di backup, con VLAN dedicate e regole firewall basate sul principio del ‘default-deny’ limita gli spostamenti laterali del ransomware e confina l’attacco a un perimetro ben definito. Infine, l’elemento umano: brevi sessioni formative e simulazioni di phishing condotte un paio di volte l’anno trasformano i dipendenti nelle sentinelle più preziose, capaci di riconoscere e segnalare comportamenti anomali prima che diventino un problema serio.
Messi insieme, questi controlli non richiedono capitali da multinazionale: sfruttano il modello ‘as-a-Service’, funzioni già comprese negli abbonamenti software e solide buone pratiche operative. Il risultato è una difesa a strati che riduce in modo deciso la superficie d’attacco e consente alle piccole e medie imprese di reagire con velocità ed efficacia, anche quando a bussare alla porta c’è un operatore specializzato come il gruppo Akira”, continua l’esperto.
Al di là dei budget comprensibilmente contenuti, risparmiare sulla cybersecurity coincide con il compromettere la sopravvivenza dell’azienda. Il panorama internazionale delle minacce (e l’Italia non fa eccezione essendo meta gradita ai criminal hacker) lascia poco spazio alla tranquillità tipica dell’incoscienza: il problema non è essere colpiti o no dal cyber crimine, il problema è comprendere che, prima o poi, accadrà.
Cosa fare quando si è vittima di un attacco ransomware
L’esperienza di Domenico Campeglia impone di chiedergli quali misure d’urgenza attivare quando il danno è ormai fatto, ossia quando i criminal hacker sono riusciti a inoculare un ransomware all’interno dei perimetri della rete aziendale.
“La prima azione è isolare i sistemi compromessi: disconnettere server e postazioni di lavoro da rete, Wi‑fi e storage condivisi blocca l’avanzata del malware e riduce il tempo che l’attaccante ha per esfiltrare o cifrare altri file. Subito dopo si passa alla raccolta delle prove. Copie forensi di log, snapshot e memory‑dump sono il punto di partenza per ricostruire la catena d’attacco – spesso aperta da credenziali VPN o RDP sottratte con phishing o brokerate sul dark web – e per adempiere agli obblighi verso assicurazione, autorità giudiziaria e GDPR”.
Occorre anche ottemperare alle norme, avviare la dovuta collaborazione con gli enti competenti e concentrarsi sulle procedure di ripristino dei dati: “Contestualmente vanno contattati i team di risposta all’incidente (fornitore IR, CERT nazionale, forze dell’ordine). Anticipare il loro intervento significa contenere i tempi di fermo e limitare i danni reputazionali. Il nodo critico resta il backup. Non basta averne uno: deve essere offline o immutabile per impedire la cancellazione da parte del ransomware. Se le copie sono integre, il ripristino può avvenire in poche ore; in caso contrario l’organizzazione deve valutare scenari più complessi – incluso l’eventuale pagamento del riscatto, da considerare solo dopo un’analisi rischi/benefici perché non garantisce né il recupero totale dei dati né la loro cancellazione dai leak‑site”.
“Infine, una gestione trasparente della comunicazione con dipendenti, clienti e partner riduce panico e disinformazione. Chiusa l’emergenza, il post‑mortem tecnico e organizzativo (patch, segmentazione, revisione dei playbook) trasforma l’incidente in un investimento di resilienza”, conclude Domenico Campeglia.
