logo SOS Ransomware
Urgenza 24/7

Decriptare il ransomware AKIRA

Hai una nota di riscatto: AKIRA_README.txt

I tuoi file sono inaccessibili a causa del ransomware Akira? Sono stati rinominati in .akira? Abbiamo gli strumenti per decifrarli.

Richiedi una consulenza
Screenshot

Presentazione

Akira è emerso pubblicamente all’inizio del 2023, succedendo indirettamente a diversi gruppi smantellati o sciolti. Molti analisti ritengono che i suoi membri provengano da ex collettivi come Conti, Hive o LockBit, il che spiegherebbe la maturità immediata dei suoi strumenti e metodi. Nel 2025, rimane uno dei gruppi più attivi osservati dai team di risposta agli incidenti e di recupero dati. Il gruppo opera secondo un modello Ransomware-as-a-Service (RaaS), con un nucleo centrale che sviluppa l’encryptor e gestisce le comunicazioni, e affiliati responsabili delle intrusioni e del dispiegamento. Questa struttura permette una rapida scalabilità e un’elevata capacità di adattamento.

Numero di vittime e settori bersaglio

Dalla sua comparsa, AKIRA ha rivendicato diverse centinaia di vittime, con un’attività costante in Europa, Nord America e Asia-Pacifico. I settori più colpiti sono:

  • Industria e manifatturiero
  • Logistica e trasporti
  • Servizi professionali
  • Sanità e istruzione
  • PMI e aziende di medie dimensioni con infrastrutture ibride
A differenza di alcuni gruppi opportunistici, AKIRA privilegia obiettivi che dispongono di dati critici e un elevato livello di dipendenza operativa, massimizzando così la pressione durante le negoziazioni.

Velocità e strategia di cifratura

Uno dei punti di forza del ransomware AKIRA risiede nella sua elevata velocità di cifratura.

Le analisi sul campo mostrano che:

  • la cifratura può iniziare qualche minuto dopo l’ottenimento dell’accesso amministratore,
  • i server di file, le macchine virtuali e i dispositivi NAS vengono presi di mira in via prioritaria,
  • le copie di backup collegate vengono sistematicamente eliminate o cifrate.

AKIRA adatta il proprio dispiegamento all’ambiente: esecuzione manuale, script automatizzati o utilizzo di strumenti nativi (Living off the Land). Questo approccio riduce la rilevazione da parte delle soluzioni EDR e accelera la compromissione complessiva.

Les 4 principaux concurrents d’Akira

Lynx
Nightspire
Ransomhouse
Blackshrantac
Anubis

Algoritmi di cifratura utilizzati

AKIRA utilizza uno schema di cifratura ibrido, che combina:
  • ChaCha20 per la cifratura rapida dei file
  • RSA o ECC per la protezione delle chiavi di sessione.

Le implementazioni osservate sono robuste, senza vulnerabilità crittografiche note fino ad oggi. In pratica, ciò significa che, in assenza di backup utilizzabili, decrittare senza la chiave fornita dal gruppo è quasi impossibile.

Il ransomware si prende inoltre cura di non cifrare alcuni file di sistema, per evitare un crash immediato e permettere alla vittima di leggere la nota di riscatto.

Estensione dei file AKIRA

Una volta completata la cifratura, i file interessati vengono rinominati con un’estensione specifica, di solito:

.nomedelfile.akira

In alcune varianti, l’estensione può includere un identificatore specifico della vittima o dell’affiliato. Questa firma aiuta ad attribuire l’attacco ed è spesso utilizzata come indicatore di compromissione (IoC).

Nota di riscatto e comunicazione

AKIRA deposita una nota di riscatto in ogni directory cifrata, spesso con il nome:
README.txt o AKIRA_README.txt

Il contenuto è relativamente minimalista e include:

  • conferma del furto e della cifratura dei dati,
  • una minaccia esplicita di pubblicazione sul sito di leak del gruppo,
  • un invito a contattare gli operatori tramite un sito Tor dedicato.

AKIRA adotta un tono “professionale” e non offensivo, puntando a stabilire un rapporto di negoziazione piuttosto che fare affidamento su intimidazioni dirette.

Ransom amounts

Gli importi richiesti da AKIRA variano notevolmente a seconda delle dimensioni della vittima:

Impatto sul recupero dei dati

Gli attacchi di AKIRA rappresentano sfide significative per il recupero dei dati:

  • Eliminazione degli snapshot,
  • Cifratura delle copie di backup
  • Cancellazione o ripristino dei dispositivi NAS
Il recupero si basa quindi su backup offline, copie degradate o ricostruzioni parziali, richiedendo competenze avanzate.

Pourquoi choisir Recoveo pour récupérer vos données

SCANX est un ensemble d’outils propriétaires
Expérience : 25 ans, 25 personnes, depuis 20219 dans le ransomware
Vision globale monde et remote

Confidentialité garantie
Toutes saturations et environnement (lien interne vers les pages)
Serveurs, tout hyperviseurs, toutes vms, backup…

Il nostro processo di recupero

1. Contatto e chiamata di qualificazione

Assistenza immediata tramite una chiamata tecnica. Valutiamo l’incidente per attivare le risorse d’emergenza più adatte alla vostra situazione critica.

2. Diagnosi avanzata

Clonazione sicura, analisi dei campioni e valutazione dell’integrità dei volumi per determinare la fattibilità tecnica e la qualità recuperabile.

3. Preventivo finale

Consegna di un’offerta commerciale trasparente e dettagliata, basata sui risultati della diagnosi, senza costi nascosti e senza alcun impegno preliminare.

4. Recupero

Esecuzione dei lavori di ricostruzione e riparazione dei file danneggiati dai nostri ingegneri esperti nel nostro laboratorio sicuro.

5. Elenco e validazione

Verifica dell’integrità dei dati tramite un elenco dettagliato. La fatturazione viene effettuata solo se i vostri file prioritari sono funzionanti.

6. Restituzione sicura

Trasferimento dei dati recuperati su un nuovo supporto pulito o tramite un link sicuro, in base al volume e ai vostri requisiti di sicurezza.

Mobilitare il nostro team di emergenza

I nostri laboratori si trovano a Parigi e Lione (Francia).

Ricevi una risposta entro un’ora.

Un servizio specializzato di Recoveo, il principale fornitore francese di recupero dati.

Chiamaci
Whatsapp

FAQ

Vos questions fréquentes

Tout ce que vous devez savoir sur les services de récupération de données de base de données.