في عالم الجرائم الإلكترونية المتزايد، يمثل برنامج الفدية “أكيرا” تهديدًا كبيرًا للبنية التحتية الحيوية. تستهدف هذه المجموعة، التي تعمل كخدمة، الشركات الصغيرة والمتوسطة بالإضافة إلى المؤسسات الكبرى.
حذرت العديد من الوكالات الحكومية الأمريكية والأوروبية من أن نشاط برنامج الفدية “أكيرا” يشكل “تهديدًا وشيكًا” للبنية التحتية الحيوية.
مثل معظم مجموعات الجرائم الإلكترونية، يفضل برنامج “أكيرا” كخدمة (RaaS) استهداف الشركات الصغيرة والمتوسطة من خلال الابتزاز. ومع ذلك، فقد استهدف أيضًا شركات أكبر، غالبًا في قطاعات حيوية مثل الرعاية الصحية والتصنيع والزراعة.
لتسليط الضوء على تهديده المستمر للقطاعات الحيوية، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ووزارة الصحة والخدمات الإنسانية (HHS) ومكتب التحقيقات الفيدرالي (FBI) والجهات القانونية من فرنسا وألمانيا وهولندا ويوروبول إشعارًا مشتركًا يوم الخميس بشأن أحدث مؤشرات الاختراق (IoC) والتكتيكات والتقنيات والإجراءات (TTPs) الخاصة بـ “أكيرا”. وأبرزوا كيف أن المجموعة قد بدأت في استخراج بيانات الضحايا بسرعة، باستخدام مجموعة متنوعة من أدوات البرمجيات الخبيثة والثغرات البرمجية الجديدة، وانتقلت إلى سطح هجوم جديد تمامًا لم يتم استهدافه من قبل المهاجمين.
في الماضي، “كان العديد من المراقبين أبطأ في التعرف على “أكيرا” كتهديد رئيسي لأن أداة فك التشفير غير الفعالة التي تم إصدارها في وقت مبكر من دورة حياتها خلقت شعورًا زائفًا بالأمان، حتى مع استمرار المجموعة في توسيع قدراتها وتسريع وتيرة عملياتها”، كما تقول سينثيا كايسر، المديرة السابقة لمكتب الأمن السيبراني في FBI والآن نائبة الرئيس في مركز أبحاث الفدية في هالسيون. ومع ذلك، فقد أصبحت منذ عامين على الأقل عملية من الدرجة الأولى، و”واحدة من أسرع مجموعات الفدية التي نتتبعها”، كما تضيف.
المهاجمون يكتشفون Nutanix AHV
يتذكر فريق Arctic Wolf Labs خلال دراستهم لـ “أكيرا” أن “ما يميز أكيرا حقًا هو مدى سرعة قدرتهم على إعداد بيئة مخترقة للتشفير”.
ويقولون إن “التركيز المبكر على البنية التحتية الافتراضية هو عامل تمكين رئيسي. من خلال السيطرة على تخزين الآلات الافتراضية (VM) ومنصات المحاكاة الافتراضية، يمكنهم تعطيل أنظمة حيوية متعددة في وقت واحد”. وفي هذا الصدد، قد ضاعف “أكيرا” جهوده في الأشهر الأخيرة.
تاريخيًا، استهدفت “أكيرا” المحاكيات الرائدة في السوق مثل ESXi (VMware) وHyper-V (Microsoft). ومع ذلك، في هجوم يونيو 2025، قامت المجموعة بتشفير ملفات القرص الخاصة بالآلات الافتراضية المرتبطة بمنافس أصغر، وهو المحاكي Acropolis (AHV) من Nutanix.
تدعي Nutanix على موقعها الإلكتروني أنها تخدم أكثر من 27000 عميل، بما في ذلك منظمات في بعض القطاعات الحيوية، مثل البحرية الأمريكية وناسداك ومطار غاتويك في لندن والمزيد. عملاؤها منتشرون عالميًا، وقد لاحظ المحللون الماليون أن الشركة قد نمت بشكل مستمر في السنوات الأخيرة. كما لاحظوا أن اعتماد AHV بين هؤلاء العملاء يقارب 90%. بمعنى آخر، AHV هو لاعب سوق كبير ولكنه أقل شهرة، يخدم عددًا من المنظمات الحيوية.
ما الجديد مع أكيرا
سجلت السلطات أيضًا عددًا من التطورات الجديدة في تكتيكات “أكيرا”. على سبيل المثال، كانت تستغل عددًا من الثغرات المعروفة القابلة للإصلاح في الأجهزة الطرفية، بما في ذلك الثغرة الحرجة CVE-2024-40711 (Veeam، تسلسل بيانات غير موثوق) وCVE-2024-40766 (SonicWall، التحكم في الوصول غير الصحيح).
كما كانت تستخدم أدوات الإدارة والمراقبة عن بُعد التجارية مثل AnyDesk وLogMeIn لأداء إجراءات من نوع المسؤول في شبكات الضحايا، بشكل أساسي لغرض تقويض برامج الأمان مثل جدران الحماية ومحركات مكافحة الفيروسات ومنصات الكشف والاستجابة للنقاط النهائية (EDR).
تظهر الأدلة على نجاح تكتيكات “أكيرا” أن المجموعة قد قامت أحيانًا باستخراج بيانات الضحايا في غضون ساعتين فقط. وبحلول أواخر سبتمبر 2025 – دون احتساب نشاطها الأخير – كانت “أكيرا” قد جمعت ما يقارب 245 مليون دولار من مدفوعات الفدية.
مع استمرار تطور تكتيكات “أكيرا”، يجب على المنظمات أن تكون على دراية بالتهديدات المحتملة وأن تتخذ تدابير وقائية لحماية أنظمتها.
