رصد الباحثون في الأمن السيبراني تصعيداً ملحوظاً في سرعة عمليات مجموعة برنامج الفدية "أكيرا". حيث يقوم المهاجمون الآن بتنفيذ هجمات أسرع وأكثر أتمتة، مما يقلص بشكل كبير الوقت بين اختراق الشبكة الأولي وبين عملية التشفير الكاملة وبدء الابتزاز. يُعزى هذا التسارع بشكل أساسي إلى استغلال الثغرات الأمنية المعروفة في أجهزة الشبكات الخاصة الافتراضية (VPN) غير المحدثة، وإعادة استخدام بيانات الاعتماد التي يتم العثور عليها داخل بيئات الضحايا. من خلال الاستفادة من نقاط الضعف الأمنية الشائعة هذه، تتمكن المجموعة من تجاوز دفاعات المحيط التقليدية بكفاءة مقلقة، وغالباً ما تكتسب الوصول الأولي في غضون دقائق من تحديد الهدف المعرض للخطر.
بعد الدخول إلى الشبكة، يستخدم المهاجمون نموذج الابتزاز المزدوج، الذي أصبح سمة مميزة لعمليات برامج الفدية الحديثة. حيث يقومون بشكل منهجي باستخراج البيانات الحساسة قبل نشر حمولة البرنامج التي تقوم بتشفير الملفات. تُستخدم هذه البيانات المسروقة كرافعة إضافية، حيث يتم التهديد بنشرها علناً أو بيعها في منتديات الويب المظلم إذا لم يتم دفع الفدية. تتميز أنشطة المجموعة بعد الاختراق بالانتشار الجانبي السريع، وغالباً باستخدام أدوات إدارية مشروعة وبيانات اعتماد مخترقة لتعطيل برامج الأمان، وتصعيد الصلاحيات، ونشر برنامج الفدية عبر أنظمة ويندوز ولينكس. تترك سرعة هذا الانتشار الداخلي للمدافعين نافذة ضيقة للغاية للكشف والاستجابة.
يكشف التحليل الفني للحملات الأخيرة اعتماد المجموعة على أدوات مثل "AnyDesk" للوصول عن بُعد المستمر، واستخدام نصوص "PowerShell" لجمع بيانات الاعتماد والانتشار الجانبي. تكتيك مثير للقلق بشكل خاص هو تركيز المجموعة على استهداف المنظمات التي قد يكون لديها أنظمة قديمة أو جرد غير مكتمل للأصول، حيث يكون البرامج القديمة وحسابات المسؤولين المنسية شائعة. يؤكد هذا على فجوة دفاعية حرجة: تركز العديد من المنظمات على منع الاختراق الأولي ولكنها أقل استعداداً للاستغلال السريع والأتمتة الذي يلي ذلك بمجرد إنشاء موطئ قدم للمهاجم.
لتخفيف المخاطر التي يشكلها هذا التهديد المتسارع، يجب على المنظمات اعتماد استراتيجية دفاع متعددة الطبقات. تشمل الأولويات الفورية تطبيق جميع التحديثات الأمنية لأجهزة VPN وأجهزة المحيط الأخرى، وتطبيق مصادقة متعددة العوامل (MFA) قوية خاصة على جميع نقاط الوصول الخارجية والحسابات المميزة، وتجزئة الشبكات للحد من الانتشار الجانبي. علاوة على ذلك، يجب على فرق الأمن افتراض حدوث اختراق وتعزيز المراقبة للاستخدام غير الطبيعي لأدوات الوصول عن بُعد وـ PowerShell، خاصة خارج ساعات العمل الإدارية العادية. إن النظافة الاستباقية لبيانات الاعتماد، بما في ذلك عمليات التدقيق المنتظمة وإزالة كلمات المرور الافتراضية أو المشتركة، أمر ضروري لتعطيل سلسلة الهجوم التي تعتمد عليها مجموعة "أكيرا" والمجموعات المماثلة من أجل سرعتها ونجاحها.
