Akira勒索软件集团对关键基础设施构成“迫在眉睫的威胁”：CISA警告

美国网络安全和基础设施安全局今天警告称，Akira勒索软件集团对关键基础设施构成“迫在眉睫的威胁”。

CISA与联邦调查局、其他美国机构及国际合作伙伴共同发布了一份冗长的更新公告，详细说明了该勒索软件集团的情况，新增了许多Akira的攻击战术、技术和程序、入侵指标以及该集团所利用的漏洞。

Akira一直是最活跃的勒索软件集团之一，因此CISA和其他机构的此次更新意义重大。CISA表示，截至9月下旬，Akira已获得约2.4417亿美元的赎金支付。

该机构称，有关Akira勒索软件集团的信息来源于“联邦调查局的调查和可信的第三方报告”。

在该机构繁忙的两天里，CISA还向其已知被利用漏洞目录中添加了三个漏洞（CVE-2025-9242，WatchGuard Firebox越界写入漏洞；CVE-2025-12480，Gladinet Triofro不当访问控制漏洞；以及CVE-2025-62215，Microsoft Windows竞争条件漏洞），并重新向联邦机构下达指令，要求修补思科漏洞CVE-2025-20333和CVE-2025-20362。

Akira勒索软件集团瞄准漏洞进行初始访问

CISA的Akira公告指出，在2025年6月的一起事件中，Akira首次加密了Nutanix Acropolis Hypervisor虚拟机的磁盘文件，通过滥用CVE-2024-40766（一个SonicWall漏洞），扩大了该勒索软件集团的能力范围，不再局限于VMware ESXi和Hyper-V。

更新的公告新增了六个被Akira威胁行为者用于初始访问的漏洞，包括：

• CVE-2020-3580，思科自适应安全设备软件和思科Firepower威胁防御中的跨站脚本漏洞
• CVE-2023-28252，Windows通用日志文件系统驱动程序权限提升漏洞
• CVE-2024-37085，VMware ESXi身份验证绕过漏洞
• CVE-2023-27532，Veeam关键功能缺失身份验证漏洞
• CVE-2024-40711，Veeam不可信数据反序列化漏洞
• CVE-2024-40766，SonicWall不当访问控制漏洞

“Akira威胁行为者通过窃取登录凭据或利用CVE-2024-40766等漏洞来访问VPN产品，例如SonicWall，”CISA公告称。在某些情况下，他们通过使用初始访问代理或暴力破解VPN端点来获取受损的VPN凭据以获得初始访问权限。该组织还使用密码喷洒技术和诸如SharpDomainSpray之类的工具来获取账户凭据。

Akira威胁行为者还通过安全外壳协议，利用路由器的IP地址获得了初始访问权限。“通过隧道穿越目标路由器后，Akira威胁行为者会利用公开可用的漏洞，例如在未打补丁的Veeam备份服务器的Veeam备份和复制组件中发现的漏洞，”公告称。

Akira最新的发现、持久化和规避战术

该集团经常使用Visual Basic脚本来执行恶意命令，并使用nltest /dclist:和nltest /DOMAIN_TRUSTS进行网络和域发现。

Akira威胁行为者滥用诸如AnyDesk和LogMeIn等远程访问工具进行持久化并“混入管理员活动”，并使用Impacket执行远程命令wmiexec.py并获取交互式shell。Akira威胁行为者还会卸载端点检测和响应系统以规避检测。

CISA表示，在一起事件中，Akira威胁行为者通过关闭域控制器的虚拟机并将VMDK文件复制到新创建的虚拟机中，绕过了虚拟机磁盘文件保护。“这一系列操作使他们能够提取NTDS.dit文件和SYSTEM配置单元，最终攻破了一个高权限域管理员账户，”公告称。

Veeam.Backup.MountService.exe也曾被用于权限提升（CVE-2024-40711），而AnyDesk、LogMeIn、RDP、SSH和MobaXterm则被用于横向移动。

Akira攻击者曾使用Ngrok等隧道工具进行命令和控制通信，发起加密会话以绕过边界监控。PowerShell和Windows管理规范命令行也曾被用于禁用服务和执行恶意脚本。

CISA建议采取多项安全最佳实践来应对Akira勒索软件威胁，包括优先修复已知被利用的漏洞、强制执行防网络钓鱼的多因素身份验证以及定期维护并测试关键数据的离线备份。