Akira è un attore ransomware noto per prendere di mira ambienti Windows e host VMware ESXi. In pratica, ciò significa che il gruppo può interrompere sia singoli endpoint sia l'infrastruttura server virtualizzata, a volte interessando molti carichi di lavoro contemporaneamente. La loro attività è associata all'individuazione di file, all'esecuzione di shell dei comandi e di PowerShell, all'abuso di WMI e all'eliminazione delle shadow copy, tutti elementi che aiutano gli aggressori a enumerare i sistemi, indebolire il ripristino e prepararsi alla cifratura o all'estorsione.
Per i difensori, Akira è rilevante perché le sue tecniche spesso sembrano amministrazione legittima finché il danno non diventa visibile. I team di sicurezza dovrebbero monitorare esecuzioni remote insolite, escalation dei privilegi, accesso all'hypervisor, manomissione dei backup e segnali di accesso massivo ai file nelle reti Windows. L'attività di hunting dovrebbe estendersi oltre i laptop ai controller di dominio, ai server di backup e alle interfacce di gestione ESXi. Nei casi reali, identificare precocemente comportamenti allineati ad Akira può ridurre l'impatto isolando gli host, preservando le prove e proteggendo le opzioni di ripristino prima che il ransomware si propaghi.