ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bugün, Akira fidye yazılımı grubunun “kritik altyapıya yönelik yakın bir tehdit” oluşturduğu konusunda uyardı.
CISA, fidye yazılımı grubu hakkında uzun ve güncellenmiş bir danışma belgesi yayınlamak için FBI, diğer ABD kurumları ve uluslararası meslektaşlarıyla bir araya gelerek, birçok yeni Akira taktiği, tekniği ve prosedürünü (TTP’ler), uzlaşma göstergelerini (IoC’ler) ve grup tarafından istismar edilen güvenlik açıklarını ekledi.
Akira sürekli olarak en aktif fidye yazılımı gruplarından biri olduğundan, CISA ve diğer kurumlardan gelen güncellemeler önemlidir. CISA, Eylül sonu itibarıyla Akira’nın fidye ödemelerinden yaklaşık 244,17 milyon dolar elde ettiğini söyledi.
Ajans, Akira fidye yazılımı grubu bilgilerinin “FBI soruşturmalarından ve güvenilir üçüncü taraf raporlarından” elde edildiğini söyledi.
Ajans için yoğun geçen iki gün içinde CISA, Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna üç güvenlik açığı ekledi (CVE-2025-9242, WatchGuard Firebox Out-of-Bounds Write güvenlik açığı, CVE-2025-12480, Gladinet Triofox Uygunsuz Erişim Kontrolü güvenlik açığı ve CVE-2025-62215, Microsoft Windows Yarış Durumu güvenlik açığı). ve Cisco’nun CVE-2025-20333 ve CVE-2025-20362 güvenlik açıklarının düzeltilmesi için federal kurumlara emirleri yeniden yayınladı.
Akira Fidye Yazılımı Grubu İlk Erişimde Güvenlik Açıklarını Hedefliyor
CISA Akira uyarı belgesinde, Haziran 2025’te meydana gelen bir olayda Akira’nın, bir SonicWall güvenlik açığı olan CVE-2024-40766’yı kötüye kullanarak fidye yazılımı grubunun yeteneklerini VMware ESXi ve Hyper-V’nin ötesine genişleterek Nutanix Acropolis Hypervisor (AHV) sanal makine (VM) disk dosyalarını ilk kez şifrelediği belirtiliyor.
Güncellenen danışma belgesi, Akira tehdit aktörlerinin ilk erişim için kullandığı altı yeni güvenlik açığını ekliyor:
- CVE-2020-3580, Cisco Adaptive Security Appliance (ASA) Yazılımında ve Cisco Firepower Threat Defense’de (FTD) siteler arası komut dosyası oluşturma (XSS) güvenlik açığı
- CVE-2023-28252, Windows Ortak Günlük Dosya Sistemi Sürücüsünde Ayrıcalık Yükselmesi güvenlik açığı
- CVE-2024-37085, VMware ESXi kimlik doğrulamasını atlama güvenlik açığı
- CVE-2023-27532, Kritik İşlev için Veeam Eksik Kimlik Doğrulaması güvenlik açığı
- CVE-2024-40711, Veeam’in Güvenilmeyen Verilerin Seriden Çıkarılması güvenlik açığı
- CVE-2024-40766, SonicWall Uygunsuz Erişim Kontrolü güvenlik açığı
CISA danışma belgesinde, “Akira tehdit aktörleri, oturum açma kimlik bilgilerini çalarak veya CVE-2024-40766 gibi güvenlik açıklarından yararlanarak SonicWall gibi VPN ürünlerine erişim sağlıyor” dedi. Bazı durumlarda, muhtemelen ilk erişim aracılarını veya kaba zorlamalı VPN uç noktalarını kullanarak, güvenliği ihlal edilmiş VPN kimlik bilgileriyle ilk erişimi elde ederler. Grup ayrıca hesap kimlik bilgilerine erişim sağlamak için SharpDomainSpray gibi parola püskürtme teknikleri ve araçları kullanıyor.
Akira tehdit aktörleri ayrıca bir yönlendiricinin IP adresinden yararlanarak Secure Shell (SSH) protokolü aracılığıyla ilk erişim elde etti. Danışma belgesinde “Hedeflenen bir yönlendirici üzerinden tünel açtıktan sonra Akira tehdit aktörleri, yama yapılmamış Veeam yedekleme sunucularının Veeam Backup and Replication bileşeninde bulunanlar gibi herkese açık güvenlik açıklarından yararlanıyor” denildi.
Akira’nın Son Keşfi, Kalıcılığı ve Kaçınma Taktikleri
Visual Basic (VB) komut dosyaları, grup tarafından kötü amaçlı komutları yürütmek için sıklıkla kullanılır ve nltest /dclist: ve nltest /DOMAIN_TRUSTS, ağ ve etki alanı keşfi için kullanılır.
Akira tehdit aktörleri kalıcılık sağlamak ve “yönetici etkinliğine uyum sağlamak” için AnyDesk ve LogMeIn gibi uzaktan erişim araçlarını kötüye kullanıyor ve Impacket, wmiexec.py uzaktan komutunu yürütmek ve etkileşimli bir kabuk elde etmek için kullanılıyor. Akira tehdit aktörleri, tespitten kaçınmak için uç nokta tespit ve yanıt (EDR) sistemlerini de kaldırır.
CISA, bir olayda Akira tehdit aktörlerinin etki alanı denetleyicisinin VM’sini kapatarak ve VMDK dosyalarını yeni oluşturulan bir VM’ye kopyalayarak Sanal Makine Diski (VMDK) dosya korumasını atladığını söyledi. Danışmanlık belgesinde, “Bu eylemler dizisi, onların NTDS.dit dosyasını ve SYSTEM kovanını çıkarmalarını sağladı ve sonuçta yüksek ayrıcalıklı etki alanı yöneticisinin hesabını tehlikeye attı” dedi.
Veeam.Backup.MountService.exe ayrıca ayrıcalık yükseltme için de kullanıldı (CVE-2024-40711) ve yatay hareket için AnyDesk, LogMeIn, RDP, SSH ve MobaXterm kullanıldı.
Akira aktörleri, komuta ve kontrol (C2) iletişimi için Ngrok gibi tünel açma araçlarını kullanarak çevre izlemeyi atlayan şifreli oturumlar başlattı. Hizmetleri devre dışı bırakmak ve kötü amaçlı komut dosyalarını yürütmek için PowerShell ve Windows Yönetim Araçları Komut Satırı (WMIC) da kullanıldı.
CISA, Akira tehdit aktörlerinin ilk erişimden itibaren iki saatten biraz daha uzun bir süre içinde veri sızdırmayı başardığını söyledi. Yeni Akira_v2 çeşidi, şifrelenmiş dosyaları .akira veya .powerranges uzantılı ya da .akiranew veya .aki ile ekler. Hem kök dizinde (C:) hem de her kullanıcının ana dizininde (C:\Users) fn.txt veya akira_readme.txt adlı bir fidye notu görünür.
CISA, Akira fidye yazılımı tehdidiyle mücadele için, bilinen istismar edilen güvenlik açıklarının düzeltilmesine öncelik verilmesi, kimlik avına karşı dirençli çok faktörlü kimlik doğrulamanın (MFA) uygulanması ve kritik verilerin düzenli, test edilmiş çevrimdışı yedeklerinin muhafaza edilmesi de dahil olmak üzere bir dizi en iyi güvenlik uygulamasını önerdi.