يعد Akira ransomware تهديدًا جديدًا ومتطورًا يستهدف المنظمات في الأشهر الأخيرة. يقوم برنامج الفدية بتشفير الملفات الموجودة على نظام الضحية ثم يطلب دفع فدية لفك تشفيرها
Updated on
August 19, 2025
Published on
Read MINUTES
6
Subscribe to the latest industry news, threats and resources.
كلية بريدج فالي المجتمعية والتقنية - الولايات المتحدة
ثومبسون بيلدرز - الولايات المتحدة
مجموعة ألاينس سبورتس - الولايات المتحدة
Pak-Rite, Ltd - الولايات المتحدة
التحليل والإسناد
مقدمة:
أكيرا عبارة عن سلالة ضارة من برامج الفدية مصممة لتشفير البيانات على الأنظمة المصابة، وإلحاق ملحق «.akira» بأسماء الملفات المتأثرة، وتقديم مذكرة فدية للضحايا باسم «akira_readme.txt». تعمل برامج الفدية عن طريق حذف نسخ Windows Shadow Volume Copies، مما يجعل استعادة البيانات أكثر صعوبة.
النشر والاستغلال والتسليم:
يتم توزيع Akira بشكل شائع من خلال وسائل مختلفة، بما في ذلك مرفقات البريد الإلكتروني المصابة التي تحتوي على وحدات الماكرو والإعلانات الضارة ومواقع التورنت والبرامج المقرصنة.
بالإضافة إلى ذلك، استنادًا إلى الشركات التابعة، تم اكتشاف استغلال الثغرات الأمنية غير المصححة بشكل شائع على نقاط نهاية VPN والتي تؤدي إلى حركات جانبية تتضمن الاستغلال النشط لتنفيذ التعليمات البرمجية عن بُعد من Vmware ESXI.
نظرة عامة على رانسوم نوت:
عند الإصابة، يقدم أكيرا مذكرة فدية للضحية، مدعيًا أن البنية التحتية الداخلية للشركة إما لا تعمل جزئيًا أو كليًا، مع إزالة جميع النسخ الاحتياطية. كما تنص على أن المهاجمين قد وصلوا إلى كمية كبيرة من بيانات الشركة قبل التشفير. تتضمن المذكرة طلبات فدية معقولة وتقدم عملية تفاوض لمنع العواقب المالية الوخيمة للمنظمة المستهدفة.
تعليمات التفاوض:
توفر مذكرة الفدية إرشادات حول الاتصال بمجرمي الإنترنت عبر متصفح Tor للوصول إلى غرفة الدردشة الخاصة بهم. يتم إعطاء رمز فريد لتسجيل الدخول، ويؤكد المهاجمون أن الاستجابة السريعة من الضحية ستقلل من الضرر المحتمل. عادة ما يتم قبول المدفوعات من خلال العملة المشفرة.
سلوك برامج الفدية:
مثل متغيرات برامج الفدية الأخرى، يمكن لـ Akira الانتشار داخل شبكة الشركة بمجرد دخولها. إنه يستهدف أجهزة متعددة ويقوم بتشفير الملفات لاستخراج مدفوعات الفدية. ومع ذلك، قبل بدء التشفير، يتجنب Akira عمدًا مجلدات معينة مثل سلة المحذوفات ومعلومات وحدة تخزين النظام والتمهيد وProgramData وWindows، إلى جانب ملفات نظام Windows التي تحمل ملحقات .exe و.lnk و.dll و.msi و.sys.
استخراج البيانات:
من السمات المهمة لـ Akira ransomware سرقة التشفير المسبق لبيانات الشركة الحساسة. يستغل المهاجمون هذه المعلومات المسروقة لابتزاز الضحايا، ويهددون بكشفها علنًا إذا لم يتم دفع الفدية على الفور.
التخفيف
قم بتصحيح الثغرات الشائعة التي تم إصدارها بنشاط حيث تميل الشركات التابعة لـ Ransomware إلى الاستغلال الجماعي للراحة والاستغلال السهل للحصول على موطئ قدم أولي داخل الشبكة.
حظر الامتدادات الشائعة الاستخدام لتقديم البرامج الضارة مثل exe، pif، tmp، url، vb، vbe، scr، reg، cer، pst، cmd، com، bat، dll، dat، hta، js، wsf.
قم بتحديث SIEM و SOAR بقاعدة صيد التهديدات المشتركة أدناه لـ Akira Ransomware.
قم بفرز التنبيهات بشكل نشط لوجود واستخدام أدوات مثل AnyDesk و WinRAR و pChunter والتي تُستخدم بشكل شائع أثناء عملية أرشفة البيانات للتسلل والاتصال الخلفي عن بُعد.
More information and context about Underground Chatter
On-Demand Research Services
Global Threat Intelligence Feed
Protect and proceed with Actionable Intelligence
The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.