Ảnh minh họa. Bitsight

Nhóm Akira mở rộng quy mô tấn công, nhắm vào nhiều ngành trọng yếu

Theo báo cáo cập nhật tháng 11/2025 của CISA cùng FBI và các cơ quan an ninh đối tác, Akira chủ yếu nhắm tới doanh nghiệp vừa và nhỏ, nhưng đã xâm nhập cả các tập đoàn lớn trong các lĩnh vực sản xuất, giáo dục, IT, y tế, tài chính và nông nghiệp.

Nhóm này vận hành theo mô hình double-extortion: trích xuất dữ liệu, sau đó mã hóa hệ thống và đe dọa công bố dữ liệu nếu nạn nhân không trả tiền chuộc (thường bằng Bitcoin). Thay vì để lại yêu cầu ngay trong hệ thống bị xâm nhập, Akira cung cấp mã truy cập và hướng dẫn đàm phán trên nền tảng Tor.

Akira cũng được cho là có liên hệ với một số nhóm tội phạm mạng như Storm-1567, Howling Scorpius, Punk Spider và có thể có “nguồn gốc” từ Conti - một trong những nhóm ransomware khét tiếng nhất trước đây.

Tấn công cả Windows, Linux và VM, khai thác hàng loạt lỗ hổng mới

Ban đầu, Akira tập trung vào các hệ thống Windows, nhưng đến tháng 4/2023 đã mở rộng để bao gồm phiên bản Linux nhắm mục tiêu vào máy ảo VMware ESXi.

Vào tháng 6/2025, nhóm tin tặc đã chứng minh mức độ tinh vi ngày càng tăng bằng cách mã hóa các tệp đĩa máy tính ảo Nutanix AHV VM và khai thác nhiều lỗ hổng bảo mật, bao gồm các CVE gần đây ảnh hưởng đến các thiết bị sao lưu Cisco VPN, SonicWall và Veeam.

Các vectơ truy cập ban đầu được ưu tiên gồm khai thác các sản phẩm VPN chưa được vá (thường thiếu xác thực đa yếu tố), lừa đảo qua email, nhồi nhét thông tin đăng nhập và tấn công bằng vũ lực.

Khi đã vào được mạng, nhóm Akira sẽ tạo các tài khoản quản trị cố định, tăng quyền hạn bằng các công cụ khôi phục (trích xuất) thông tin xác thực như Mimikatz và LaZagne, vô hiệu hóa phần mềm bảo mật và sử dụng các công cụ truy cập từ xa hợp pháp (như AnyDesk và LogMeIn) để di chuyển ngang.

Quá trình trích xuất dữ liệu được thực hiện bằng những ứng dụng chuyển tải tệp tin máy khách (client) FileZilla, WinSCP, RClone và đường hầm đám mây (Ngrok, Cloudflare Tunnel), với dữ liệu thường được trích xuất trong vòng chưa đầy ba giờ.

Quá trình mã hóa dữ liệu, tội phạm sử dụng lược đồ ChaCha20-RSA lai (hybrid scheme) của hai thuật toán mã hóa, thêm phần mở rộng .akira hoặc .powerranges, dựa trên bộ mã hóa tùy chỉnh viết bằng Rust (Megazord, Akirav2) hoặc C.

Nhóm này tích cực xóa các bản sao ẩn để cản trở việc phục hồi và sử dụng các kỹ thuật ẩn và các công cụ hợp pháp để trốn tránh sự phát hiện.

Khuyến nghị của CISA trước mối đe dọa của nhóm Akira

CISA kêu gọi các tổ chức doanh nghiệp cần khẩn trương: Vá lỗ hổng đang bị khai thác; Bật xác thực đa lớp MFA chống lừa đảo (phishing); Lưu trữ các bản sao lưu (backup) ngoại tuyến và kiểm tra định kỳ; Giám sát chặt chẽ di chuyển ngang trong mạng; Hạn chế truy cập từ xa, chỉ cho phép từ nguồn uy tín; Rà soát tài khoản lạ và các dấu hiệu leo thang đặc quyền.

Cơ quan này nhấn mạnh: chiến dịch ransomware Akira nhấn mạnh nhu cầu cấp thiết của các tổ chức, doanh nghiệp phải tăng cường khả năng phát hiện mối đe dọa, hành động theo khuyến cáo kịp thời và chuẩn bị các kế hoạch ứng phó toàn diện, sắn sàng phòng thủ chống lại một nhóm tin tặc đang mở rộng tác động lên các cơ sở hạ tầng quan trọng toàn cầu.​

​​An Lâm (Theo Cyber Press)