Il ransomware Akira a caccia di nuove prede: a rischio le VM Nutanix
Un pericoloso sindacato del cybercrimine ha puntato la sua attenzione su tecnologie trascurate, minacciando settori critici con attacchi rapidi e sofisticati.
Dati essenziali
- Il ransomware Akira ora prende di mira le macchine virtuali Nutanix Acropolis Hypervisor (AHV), una novità assoluta per i principali gruppi di cybercriminali.
- Agenzie statunitensi ed europee avvertono di una “minaccia imminente” alle infrastrutture critiche, inclusi sanità e manifatturiero.
- Gli attacchi di Akira sono rapidi: a volte riescono a esfiltrare dati sensibili in poco più di due ore.
- Oltre 245 milioni di dollari in riscatti sono stati incassati da Akira a settembre 2025.
- Akira sfrutta sia vulnerabilità software note sia strumenti legittimi di gestione remota per violare le reti.
La nuova frontiera: macchine virtuali sotto assedio
Immaginate un branco di lupi digitali che si muove nell’ombra, aggirando le solite difese per colpire al cuore il branco. Questa è la minaccia che Akira rappresenta ora per l’Acropolis Hypervisor (AHV) di Nutanix: una piattaforma di macchine virtuali (VM) utilizzata da migliaia di organizzazioni, molte delle quali in settori critici come la Marina degli Stati Uniti e le principali borse valori. Mentre la maggior parte delle gang di ransomware ha a lungo predato i campi ben battuti di VMware ESXi e Microsoft Hyper-V, Akira è il primo grande gruppo a prendere di mira l’AHV di Nutanix, meno noto ma ampiamente diffuso. Questo cambio di rotta è significativo: gli hypervisor sono i motori invisibili che fanno funzionare i moderni data center, e comprometterli permette agli attaccanti di mettere fuori uso decine o addirittura centinaia di sistemi contemporaneamente.
Il manuale di Akira: velocità, sofisticazione e furtività
Ciò che rende Akira così minaccioso non è solo la scelta delle sue vittime. Il gruppo è incredibilmente veloce: i ricercatori di sicurezza hanno cronometrato il furto di dati sensibili in poco più di due ore. Il loro arsenale combina vecchie tecniche di hacking con nuovi trucchi: sfruttano vulnerabilità ben note (come falle nei software Veeam e SonicWall) e dirottano programmi legittimi di gestione remota come AnyDesk e LogMeIn. Questi strumenti, pensati per aiutare i team IT, vengono rivolti contro le vittime per disabilitare le difese di sicurezza e aprire le porte all’attacco.
Akira utilizza anche una combinazione di malware pronti all’uso, tra cui il bot proxy SystemBC e driver personalizzati che eliminano i processi di protezione. I loro metodi si sono evoluti rapidamente, sorprendendo gli esperti che in passato avevano sottovalutato il gruppo a causa di un primo decryptor difettoso che aveva dato false speranze alle vittime. Oggi, Akira è riconosciuto come una delle operazioni ransomware più rapide e prolifiche in circolazione.
Una minaccia crescente per i settori critici
Dalla sua comparsa, Akira ha colpito oltre mille vittime note, ma il numero reale è probabilmente molto più alto. Il passaggio del gruppo verso Nutanix AHV è particolarmente preoccupante perché molte organizzazioni critiche-ospedali, aeroporti, istituzioni finanziarie-si affidano a questa tecnologia, che però è stata raramente attaccata in passato. Questa novità lascia ai difensori poca esperienza su cui basarsi, aumentando il rischio di interruzioni catastrofiche.
Le autorità di entrambe le sponde dell’Atlantico stanno lanciando l’allarme, invitando le organizzazioni a correggere le vulnerabilità note e a monitorare eventuali attività sospette, soprattutto nelle infrastrutture virtuali che finora potrebbero essere passate inosservate.
WIKICROOK
- Ransomware: Il ransomware è un software dannoso che cripta o blocca i dati, chiedendo un riscatto alle vittime per ripristinare l’accesso ai file o ai sistemi.
- Hypervisor: Un hypervisor è un software che consente a un server di eseguire più macchine virtuali isolate, ciascuna delle quali funziona come un computer indipendente.
- Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete della vittima a un sistema esterno controllato dagli attaccanti.
- Strumenti di gestione remota: Gli strumenti di gestione remota permettono al personale IT di accedere e controllare i computer a distanza per supporto e manutenzione, ma possono essere sfruttati dai criminali per accessi furtivi.
- Indicatori di compromissione (IoC): Gli indicatori di compromissione (IoC) sono segnali, come file sospetti o attività di rete insolite, che rivelano che un sistema è stato probabilmente attaccato o compromesso.




