Akira Ransomware Attacks & Decryption

Akira Ransomware: Μια από τις μεγαλύτερες απειλές του 2025 και πώς η Tictac Cyber Security βοηθά τις επιχειρήσεις να ανακάμψουν

Το 2025 το τοπίο των κυβερνοαπειλών έχει αλλάξει δραματικά. Ονόματα Ransomware όπως Lockbit, Ransomhub, Black Basta, 8Base και φυσικά Akira κυριαρχούν στις παγκόσμιες λίστες με τα πιο ενεργά και καταστροφικά ransomware. Ανάμεσά τους, το Akira Ransomware ξεχωρίζει λόγω της στοχευμένης στρατηγικής του και της ικανότητάς του να παραμένει αόρατο για μεγάλο χρονικό διάστημα στο δίκτυο των θυμάτων του.

Ποια είναι η ομάδα Akira Ransomware;

Το Akira εμφανίστηκε στις αρχές του 2023, αλλά μέσα σε σύντομο χρονικό διάστημα εξελίχθηκε σε μια από τις πιο επικίνδυνες απειλές. Ανήκει στην κατηγορία Ransomware-as-a-Service (RaaS) και δραστηριοποιείται με συνεργάτες που εκτελούν επιθέσεις για λογαριασμό της ομάδας.

Σύμφωνα με τα τελευταία στατιστικά στοιχεία από διεθνείς αρχές και ερευνητές ασφαλείας, η Akira ευθύνεται για εκατοντάδες περιστατικά διεθνώς, ενώ στην Ελλάδα έχουν καταγραφεί τουλάχιστον τέσσερις μεγάλες επιχειρήσεις που επηρεάστηκαν σοβαρά. Κοινός παρονομαστής: πρόκειται για εταιρίες με άνω των 30 εργαζομένων και τζίρο άνω των 10.000.000€.

Πώς επιτίθεται η Akira

Η μέθοδος προσβολής της Akira δεν βασίζεται σε μαζικές εκστρατείες phishing. Αντιθέτως, οι επιθέσεις της είναι στοχευμένες, βάσει οικονομικών στοιχείων της κάθε επιχείρησης. Μέσα από την εμπειρία της ομάδας μας στην Tictac Cyber Security και τις forensics έρευνες που έχουμε διεξάγει, διαπιστώσαμε ότι:

• Το Akira παραμένει στο δίκτυο για εβδομάδες ή και μήνες, καταγράφοντας και χαρτογραφώντας το περιβάλλον του οργανισμού.
• Αναζητά ενεργά τα backups, τα διαγράφει ή τα καταστρέφει, και έπειτα ξεκινά την κρυπτογράφηση.
• Ο βασικός του στόχος είναι οι ESXi Servers και τα virtual machines (VMs), καθιστώντας τις υποδομές IT ανενεργές.
• Χρησιμοποιεί τεχνικές αποφυγής εντοπισμού (anti-analysis), και τα παραδοσιακά antivirus δεν είναι επαρκή για την αντιμετώπισή του.

Double Extortion: Διπλός Εκβιασμός

Η Akira εφαρμόζει την τεχνική του double extortion: όχι μόνο κρυπτογραφεί τα δεδομένα, αλλά απειλεί και με δημοσιοποίηση εμπιστευτικών αρχείων σε dark web portals αν δεν καταβληθούν τα λύτρα. Οι επιχειρήσεις έρχονται αντιμέτωπες με τη διπλή καταστροφή: απώλεια λειτουργικότητας και απώλεια φήμης.

Τι γίνεται με την αποκρυπτογράφηση;

Μια μικρή ελπίδα προέκυψε τον Μάιο του 2025, όταν η ομάδα ερευνητών της Fitsec ανακοίνωσε στο Reddit ότι κατάφερε να σπάσει την τελευταία παραλλαγή του Akira που κυκλοφορούσε από τον Σεπτέμβριο 2023 μέχρι τον Μάιο 2025. Όπως αναφέρουν οι ίδιοι:

“Παρά τις φήμες περί στρατιωτικής κρυπτογράφησης, το Akira απέχει πολύ από αυτό. Η τελευταία του έκδοση περιείχε σφάλματα στον τρόπο παραγωγής κλειδιών.”

Αν και σε κάποιες περιπτώσεις υπάρχει δυνατότητα δωρεάν αποκρυπτογράφησης (π.χ. από την Avast ή open-source εργαλεία για Linux), δεν είναι όλα τα περιστατικά συμβατά με αυτά τα εργαλεία. Για αυτό απαιτείται ειδική αξιολόγηση του περιστατικού, όπως αυτή που παρέχει η Tictac.

Τι μπορεί να πάει στραβά στις διαπραγματεύσεις

Πολλές εταιρείες, μέσα στην απόγνωση, καταφεύγουν σε διαπραγματεύσεις με τους επιτιθέμενους. Αυτή η διαδικασία είναι γεμάτη ρίσκα:

• Μπορεί να πληρώσετε και να μην λάβετε κανένα εργαλείο αποκρυπτογράφησης.
• Οι επιτιθέμενοι συχνά ζητούν επιπλέον χρήματα κατά τη διάρκεια της διαδικασίας.
• Υπάρχει κίνδυνος παραβίασης νόμων ή συνεργασίας με οντότητες που βρίσκονται σε λίστα κυρώσεων (sanctioned).

Η ανάγκη για προετοιμασία: Disaster Recovery & Immutable Storage

Καμία άμυνα δεν είναι 100% αποτελεσματική. Όμως, οι οργανισμοί που έχουν υλοποιήσει Disaster Recovery Plan, immutable backups (μη τροποποιήσιμα αντίγραφα) και segmentation του δικτύου τους, έχουν πολλαπλάσιες πιθανότητες επιβίωσης.

Σύμφωνα με τα σχόλια στο Reddit, οι περισσότεροι χρήστες βλέπουν τα backups σαν λύση, αλλά το πρόβλημα είναι πολύ βαθύτερο: χρειάζεται πρόληψη, ανίχνευση, και άμεση απόκριση.

Πώς μπορεί να σας βοηθήσει η Tictac Cyber Security

Η ομάδα μας στην Tictac ειδικεύεται στην αντιμετώπιση περιστατικών ransomware. Προσφέρουμε:

• Άμεση απόκριση με Incident Response Engineer στις υποδομές σας
• Πλήρη Forensics έρευνα για εντοπισμό της προέλευσης της επίθεσης
• Εκτίμηση δυνατοτήτων αποκρυπτογράφησης με χρήση όλων των γνωστών εργαλείων και μεθόδων
• Διαχείριση διαπραγματεύσεων με ασφάλεια και νομική κάλυψη
• Ανάκτηση λειτουργιών μέσω Disaster Recovery Plan
• Σχεδιασμό μέτρων πρόληψης για το μέλλον (Zero Trust Architecture, EDR, Immutable Storage)
• Διαχείριση Νομικών ενεργειών και αναφορές στις αρμόδιες αρχές

Συμπέρασμα

Το Akira δεν είναι ένα ακόμα ransomware. Είναι στοχευμένο, επίμονο και καταστροφικό. Οι επιχειρήσεις που δεν διαθέτουν σχέδιο αποκατάστασης κινδυνεύουν με ολική διακοπή λειτουργιών και ανεπανόρθωτη ζημιά.

Μπορείτε να επικοινωνήσετε μαζί μας για πραγματοποιήσουμε ένα Risk Assessment στην υποδομή σας και να ελέγξουμε αν ο οργανισμός μας είναι έτοιμος για μια τέτοια επίθεση Ransomware. Δυστυχώς από τις υποθέσεις που διαχειριστήκαμε το 2025 μόνο μία επιχείρηση ήταν σχεδόν έτοιμη για την επίθεση αλλά παρόλα αυτά είχε ένα business interruption αρκετών ημερών, ακόμα και με τη δική μας τη βοήθεια.

Η Tictac Cyber Security είναι εδώ για να σας προστατεύσει. Εάν έχετε πέσει θύμα ή θέλετε να προετοιμαστείτε κατάλληλα, επικοινωνήστε μαζί μας σήμερα.