Akira勒索软件 | 爆发警报 | FortiGuard实验室

发布日期：2024年4月22日
更新日期：2025年11月13日

概述

250+组织受影响，勒索金额达4200万美元

FortiGuard实验室持续观测到与Akira勒索软件组织相关的攻击活动。根据CISA最新报告，过去一年该组织已攻击超过250个组织，影响北美、欧洲和澳大利亚的众多企业和关键基础设施。该团伙通过勒索攻击已获利超过4200万美元。了解更多»

常见漏洞与暴露（CVE）

• CVE-2023-20269
• CVE-2020-3259
• CVE-2024-40766
• CVE-2024-40711
• CVE-2023-27532
• CVE-2024-37085
• CVE-2023-28252
• CVE-2020-3580

技术分析

背景

首次于2023年3月/4月检测到，该勒索软件组织主要针对中小型企业，以经济利益为驱动。与其他知名勒索软件类似，Akira采用勒索软件即服务（Ransomware-as-a-Service）和双重勒索等熟悉策略来最大化利润。

攻击技术

该勒索软件利用未启用多因素认证（MFA）的虚拟专用网络（VPN）服务——主要使用已知的Cisco漏洞CVE-2020-3259和CVE-2023-20269，以及面向外部的服务如远程桌面协议（RDP）、鱼叉式网络钓鱼和滥用有效凭证。

这些凭证通常通过暴力攻击获取或从暗网获得。一旦进入内部，威胁行为者会部署各种工具和恶意软件进行侦察、转储凭证、窃取数据并在网络内横向移动。

版本演变

Akira勒索软件变体的初始迭代使用C++编写，使用.akira扩展名加密文件。然而从2023年8月起，部分Akira攻击转向使用Megazord，采用基于Rust的代码，使用.powerranges扩展名加密文件。Akira威胁行为者持续同时使用Megazord和Akira，包括新版本Akira_v2。

威胁雷达

总体评分：4.6

• CVSS评分：9.8
• FortiRecon评分：95/100
• 已知被利用：是
• 漏洞利用预测评分：92.42%
• FortiGuard遥测：5531

最新动态

Fortinet现有AV签名和基于行为的检测可检测并阻止Akira勒索软件，但建议始终遵循最佳实践并应用相关补丁以减轻威胁并降低勒索软件事件的可能性/影响。

2025年11月13日：CISA及合作伙伴发布Akira勒索软件咨询更新 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a

2024年4月19日：FortiGuard实验室发布威胁信号 https://www.fortiguard.com/threat-signal-report/5426

2024年4月18日：美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、欧洲刑警组织欧洲网络犯罪中心（EC3）和荷兰国家网络安全中心（NCSC-NL）联合发布网络安全咨询

攻击序列

FortiGuard网络安全框架

通过利用各种FortiGuard服务来缓解安全威胁和漏洞。

防护（PROTECT）

• AV：检测已知恶意软件
• AV（预过滤）：检测已知恶意软件
• 行为检测：检测未知恶意软件
• IPS：检测并阻止利用漏洞的攻击尝试
• 预执行：针对高级威胁的自动威胁检测和响应
• 后执行：针对高级威胁的自动威胁检测和响应

检测（DETECT）

• IOC：威胁指标
• 爆发检测
• 威胁狩猎
• 内容更新
• 剧本

响应（RESPOND）

• 自动响应服务
• 辅助响应服务

恢复（RECOVER）

• NOC/SOC培训
• 最终用户培训

识别（IDENTIFY）

• 攻击面监控（内部和外部）
• 商业声誉
• 攻击面加固

威胁情报

威胁指标（IOC）

显示100个条目中的1到5个

威胁活动统计

过去24小时趋势：监测到相关活动

主要目标国家（过去7天）

• 阿拉伯联合酋长国：11,454
• 法国：6,667
• 美国：2,616
• 澳大利亚：2,252

主要目标行业（过去7天）

• 媒体/通信：6,672
• 教育：1,738
• 政府：1,704
• 银行/金融/保险：1,499

参考资源

• 勒索软件指南 CISA
• CISA咨询
• Cisco咨询 (CVE-2020-3259)
• Cisco咨询 (CVE-2023-20269)
• Fortinet博客