Federal kurumlar tarafından yeni güncellenen bir siber güvenlik tavsiyesi, Akira fidye yazılımı operasyonunun kampanyasını önemli ölçüde artırdığını, dünya çapındaki kuruluşların güvenliğini tehlikeye attığını ve karmaşık saldırı yöntemleri aracılığıyla büyük fidye gelirleri biriktirdiğini ortaya koyuyor.
FBI, CISA, Savunma Bakanlığı Siber Suç Merkezi (DC3), Sağlık ve İnsani Hizmetler Departmanı (HHS) ve Avrupa’daki uluslararası emniyet ortakları tarafından 13 Kasım 2025’te yayınlanan ortak tavsiyeye göre, Akira fidye yazılımı tehdit aktörleri Mart 2023’ten bu yana Kuzey Amerika, Avrupa ve Avustralya’daki işletmeleri ve kritik altyapı kuruluşlarını etkiledi.
Eylül 2025 sonu itibarıyla, fidye yazılımı operasyonundan toplam fidye yazılımı geliri olarak yaklaşık 244,17 milyon dolar elde edildi.
Storm-1567, Howling Scorpius, Punk Spider ve Gold Sahara olarak bilinen gruplarla bağlantılı tehdit aktörlerinin, feshedilmiş Conti fidye yazılımı grubuyla bağları olabilir.
Öncelikle küçük ve orta ölçekli işletmeleri hedef alıyorlar ancak aynı zamanda imalat, eğitim kurumları, bilgi teknolojisi, sağlık ve kamu sağlığı, finansal hizmetler ile gıda ve tarım kuruluşlarını özellikle tercih ederek birden fazla sektördeki daha büyük kuruluşları da başarılı bir şekilde tehlikeye atıyorlar.
Gelişen Saldırı Yöntemleri
Akira operatörleri, saldırı tekniklerinde dikkate değer bir uyum yeteneği sergilediler. Başlangıçta dosyaları .akira uzantılı şifreleyen C++ kodlu bir varyanta sahip Windows sistemlerine odaklanan grup, Nisan 2023’te VMwareESXi sanal makinelerini hedefleyen bir Linux varyantını devreye aldı.
Ağustos 2023 itibarıyla bazı saldırılar, şifrelenmiş dosyalara .powerranges uzantısı ekleyen Rust tabanlı bir Megazord şifreleyiciyi dağıtmaya başladı.
Önemli bir gelişme olarak Akira tehdit aktörleri, bir SonicWall güvenlik açığı olan CVE-2024-40766’dan yararlanarak yeteneklerini VMware ESXi ve Hyper-V’nin ötesine genişleterek Nutanix AHV VM disk dosyalarını ilk kez Haziran 2025’te şifreledi.
Tehdit aktörleri ayrıca gelişmiş şifreleme yetenekleri ve kaçırma teknikleri sağlayan gelişmiş bir Akira_v2 varyantını da kullandı.
Öneride, Akira operatörlerinin öncelikli olarak çok faktörlü kimlik doğrulaması yapılandırılmamış sanal özel ağlar aracılığıyla ilk erişimi elde ettikleri ve CVE-2020-3259, CVE-2023-20269, CVE-2020-3580, CVE-2023-28252 ve CVE-2024-37085 dahil olmak üzere bilinen çok sayıda Cisco ürün güvenlik açığından yararlandıkları vurgulanıyor.
Ek yararlanma hedefleri arasında CVE-2023-27532, CVE-2024-40711 ve CVE-2024-40766 bulunmaktadır.
Tehdit aktörleri, güvenlik açığından yararlanmanın ötesinde hedef odaklı kimlik avı kampanyaları kullanıyor, potansiyel olarak ilk erişim aracılarından elde edilen çalıntı kimlik bilgilerini kötüye kullanıyor, SharpDomainSpray gibi araçları kullanarak şifre püskürtme tekniklerini kullanıyor ve VPN ve SSH uç noktalarına karşı kaba kuvvet saldırılarından yararlanıyor.
Bazı olaylarda Akira operatörleri, ilk erişim için yama uygulanmamış Veeam yedekleme sunucularındaki herkese açık güvenlik açıklarından yararlandı.
Hızlı Saldırı Uygulaması
Akira tehdit aktörleri bir ağa girdikten sonra endişe verici bir hızla hareket eder. Belgelenen bazı olaylarda, operatörler verileri ilk erişimden itibaren iki saatten biraz daha uzun bir sürede sızdırdı.
Yeni etki alanı ve yerel hesaplar oluşturarak, genellikle “itadm” adında bir yönetici hesabı oluşturarak kalıcılık sağlarlar.
Tehdit aktörleri, kimlik bilgilerini çıkarmak için Kerberoasting gibi istismar sonrası tekniklerden yararlanıyor ve kimlik bilgilerinin kazınması için Mimikatz ve LaZagne gibi araçlardan yararlanıyor.
Operatörler yanal hareket ve erişimi sürdürmek için AnyDesk, LogMeIn, RDP, SSH ve MobaXterm gibi yasal uzaktan erişim araçlarını kötüye kullanıyor.
Zemana AntiMalware sürücüsünden yararlanmak ve antivirüsle ilgili işlemleri sonlandırmak için genellikle PowerTool kullanarak güvenlik yazılımını kapatıyorlar ve uç nokta algılama ve yanıt sistemlerini tamamen kaldırdıkları gözlemlendi.
Akira, veri şifrelemeyi hassas bilgilerin sızmasına yönelik tehditlerle birleştiren karmaşık bir çift gasp modeli kullanıyor.
Fidye yazılımı, hızlı ve güvenli anahtar değişimi için RSA genel anahtar şifreleme sistemine sahip ChaCha20 akış şifresini içeren hibrit bir şifreleme şeması kullanıyor. Sistem kurtarmayı daha da engellemek için şifreleyici, Windows sistemlerindeki Birim Gölge Kopyası Hizmeti kopyalarını siler.
Tehdit aktörleri veri hırsızlığı için FileZilla ve WinRAR toplama aracını, Mega gibi bulut depolama hizmetlerine sızma için ise WinSCP ve RClone gibi araçlardan yararlanıyor.
Hazır araçları kullanarak komuta ve kontrol kanalları kurarlar ve Ngrok ile veri sızdırma için güvenli tüneller oluştururlar.
Kurbanlara, Tor ağı üzerinden erişilebilen bir .onion URL’si aracılığıyla tehdit aktörleriyle iletişim kurmaları için benzersiz bir kod ve talimatlar sağlanır.
Önerilen Korumalar
Yazan kuruluşlar, kuruluşların uygulaması gereken çeşitli kritik azaltımları vurgulamaktadır.
Öncelikli eylemler arasında, istismar edildiği bilinen güvenlik açıklarının iyileştirilmesi, tüm hizmetler için kimlik avına karşı dirençli çok faktörlü kimlik doğrulamanın etkinleştirilmesi ve uygulanması ve düzenli geri yükleme testleriyle kritik verilerin düzenli çevrimdışı yedeklerinin sürdürülmesi yer alıyor.
Ek öneriler arasında fidye yazılımının yayılmasını önlemek için ağ bölümlendirmesinin uygulanması, anormal etkinlikleri belirlemek için ağ izleme araçlarının dağıtılması, yönetim hesapları için zamana dayalı erişimin uygulanması ve tüm yedekleme verilerinin şifrelenmiş ve değiştirilemez olmasının sağlanması yer alır.
Kuruluşlar ayrıca kullanılmayan bağlantı noktalarını devre dışı bırakmalı, en az 15 karakterden oluşan uzun parolalar gerektirmeli, birden fazla başarısız oturum açma girişimi kilitlemesi uygulamalı ve en az ayrıcalık ilkesine göre yönetici ayrıcalıklarına sahip kullanıcı hesaplarını denetlemelidir.
Danışma belgesinde, ödemenin dosya kurtarmayı garanti etmediği ve düşmanları ek kuruluşları hedef almaya cesaretlendirebileceği için federal yetkililerin fidye ödemeyi teşvik etmediği açıkça belirtiliyor.
Kuruluşların, fidye yazılımı olaylarını derhal FBI’ın İnternet Suçları Şikayet Merkezi’ne, yerel FBI saha ofislerine veya CISA’nın 7/24 Operasyon Merkezi’ne bildirmeleri istenmektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.