Hacker-gruppe har indkasseret 1,5 milliarder i afpresningspenge

Da it-leverandøren Tietoevry blev ramt i 2024, var det kun toppen af isbjerget. Angrebet satte butikker som Rusta og Filmstaden ud af spil i Sverige, ramte Systembolaget og lagde både kommuner og regioner ned.

I kulissen stod ransomware-gruppen Akira, som siden marts 2023 er gået målrettet efter virksomheder og offentlige institutioner i Nordamerika, Europa og Australien.

Akira går efter organisationer, der ikke kan tåle at være nede. Angrebene rammer især produktion, uddannelsesinstitutioner, it-leverandører og sundhedsvæsen, og nyere analyser viser også øget aktivitet mod finans og fødevaresektoren.

Når gruppen først er inde på et netværk, stjæler den data og krypterer systemer og kræver bagefter løsepenge for både dekryptering og for at undlade at lække oplysninger.

Det samlede udbytte er nu oppe på mere end 244 millioner dollar. Beløbet svarer til omkring 1,6 milliarder danske kroner, skriver Computer Sweden.

Myndighederne vurderer, at den faktiske sum kan være højere, fordi det ikke er alle ofre, der melder sig, og dermed bliver alle betalinger ikke kendt.

Ind gennem VPN’en – ud igen med data på få timer

Den nye tekniske rapport tegner et billede af en gruppe, der arbejder systematisk og hele tiden udvider sit arsenal. Akira kommer ofte ind via sårbare VPN-løsninger eller andre internetvendte systemer.

De udnytter kendte fejl i produkter fra blandt andre Cisco, SonicWall og backup-løsninger som Veeam, og de går målrettet efter miljøer, hvor multifaktorgodkendelse ikke er slået til.

I andre sager har de fået indgang via stjålne eller gættede adgangskoder. Her bruger de værktøjer til bruteforce og password-spraying og scanner efter genbrugte eller svage kodeord.

Når de først er inde, opretter de nye brugere med administratorrettigheder, kortlægger hele netværket og leder efter servere, domænecontrollers og virtualiseringsplatforme.

Myndighederne fortæller, hvordan gruppen har kunnet angribe både VMware ESXi og Nutanix AHV ved at misbruge nye sårbarheder i 2024 og 2025.

De bruger fjernstyringsværktøjer som AnyDesk og LogMeIn til at blive på netværket, og de afinstallerer eller slår sikkerhedssoftware fra for at undgå at blive opdaget.

I nogle hændelser har Akira kun haft brug for lidt over to timer fra første adgang, til de begyndte at stjæle data.

Når data er samlet, pakker de den i arkiver med værktøjer som 7-Zip og WinRAR og sender den ud af huset via FTP, SFTP eller skytjenester.

Først derefter ruller krypteringen af filer ud, og ofrene mødes af filer med endelser som .akira, .powerranges eller de nyere varianter .akiranew og .aki samt en løsesumsnote i hver mappe.

Myndighedernes klare besked: Patch, MFA og offline backup

Akira arbejder efter en konsekvent dobbelt afpresningsmodel. Ofre, der kontakter gruppen via en Tor-adresse, får et særligt kodeord og et krav om betaling i bitcoin. De bliver samtidig truet med offentliggørelse af de stjålne data, hvis de ikke betaler.

Myndighederne advarer mod at give efter, fordi betaling både finansierer nye angreb og ikke giver nogen garanti for, at data ikke dukker op igen senere.

I stedet lægger den fælles rapport vægt på klassiske, men konsekvent gennemførte sikkerhedstiltag. Organisationer skal prioritere patching af kendte, udnyttede sårbarheder, især på VPN-gateways og backup-løsninger.

De skal indføre stærk multifaktorgodkendelse på alle fjernadgange og administrative konti og begrænse antallet af brugere med høje rettigheder.

Samtidig anbefales det, at kritiske data altid har verificerede offline-backups, der jævnligt testes, så systemer kan gendannes uden forhandlingsbordet med en ransomware-gruppe.

Netværk bør segmenteres, så et kompromis ikke uden videre breder sig til hele miljøet, og logning og overvågning skal gøre det muligt at opdage uventet fjernadgang og store datamængder på vej ud.

Akira har på få år udviklet sig fra endnu en ny ransomware-aktør til et globalt netværk med et dokumenteret udbytte på over 1,5 milliarder kroner i afpresningspenge.

Det næste skridt ligger nu hos de virksomheder og offentlige organisationer, der stadig har ubeskyttede VPN-indgange og mangelfuld backup.