Группировка Akira шифрует данные жертв менее чем за 1 час

Группировка вымогателей Akira значительно ускорила свои атаки и теперь может перейти от первоначального доступа к шифрованию данных менее чем за 1 час.

По данным Halcyon, в большинстве случаев полный цикл атаки занимает менее 4 часов.

Масштаб деятельности

Группировка активна с 2023 года и к сентябрю 2025 года получила не менее $245 млн выкупа.

Предположительно, в её состав входят бывшие участники группы Conti.

Основные цели — малый и средний бизнес в разных отраслях:

•производство
•IT
•образование
•здравоохранение
•финансы
•сельское хозяйство

Как проходят атаки

Akira использует несколько способов получения доступа:

уязвимости нулевого дня
покупка доступов у initial access brokers
взлом VPN без MFA

После проникновения атака развивается максимально быстро и скрытно.

Группировка применяет метод intermittent encryption — частичное шифрование файлов блоками, что ускоряет процесс.

Почему атаки сложно остановить

Akira действует менее агрессивно, но более скрытно, что позволяет ей проходить все этапы атаки без обнаружения.

Вся цепочка — от доступа до кражи данных и шифрования — может происходить практически незаметно.

Особенность Akira

В отличие от большинства вымогателей, группа активно разрабатывает рабочие дешифраторы.

Обычно операторы ransomware тратят:

около 90–95% времени на шифрование
5–10% на дешифраторы

Akira уделяет больше внимания восстановлению данных, включая:

поддержку больших файлов (например, образов серверов)
автосохранение с расширением .akira

Это повышает вероятность того, что жертва заплатит выкуп.

Дополнительные техники

Группировка использует двойное вымогательство:

сначала крадет данные
затем шифрует их
угрожает публикацией при отказе платить

Также зафиксированы атаки через:

•Veeam Backup
•Cisco VPN
•SonicWall

Вывод

Akira демонстрирует высокий уровень организации: быстрые атаки, скрытность и рабочие дешифраторы делают её одной из самых опасных ransomware-групп на данный момент.