勒索软件Akira的攻击行动不时出现新的变种，其中最近一年最常见的攻击目标是SonicWall防火墙，攻击者利用其SSL VPN功能中的特定漏洞，作为入侵企业组织的主要途径。不过，美国近日发出警告，这些黑客的攻击范围已扩展至新的虚拟化平台，攻击面变得更加广泛。

11月13日，美国网络与基础设施安全局（CISA）更新了关于勒索软件Akira攻击手法的网络安全公告，其中最引人注目的是，公告特别提到今年6月发生的一起安全事件中，黑客首次针对Nutanix AHV虚拟化平台发起攻击，入侵途径是去年8月SonicWall修复的重大漏洞CVE-2024-40766（CVSS风险评分为9.3分）。这是继多个勒索软件团伙加密VMware ESXi和Hyper-V虚拟机之后，首次出现针对Nutanix虚拟化环境并加密虚拟机的案例。

CISA还指出，Akira攻击手法的其他变化，例如在入侵企业网络的途径中，除前述SonicWall防火墙漏洞外，还可能利用备份平台Veeam的已知漏洞CVE-2024-40711或CVE-2023-27532（风险评分分别为9.8和7.5）。此外，Akira有时还会利用其他应用系统的已知漏洞，包括：VMware ESXi身份验证绕过漏洞CVE-2024-37085、Windows通用事件日志文件系统（CLFS）驱动程序权限提升漏洞CVE-2023-28252，以及思科ASA与FTD防火墙设备的跨站脚本（XSS）漏洞CVE-2020-3580（风险评分介于7.8至6.1之间）。

除了利用安全漏洞获取初始访问权限外，这些黑客还会通过路由器和SSH连接建立隧道，以隐藏其活动踪迹。

在勒索软件攻击中，黑客常滥用远程管理工具（RMM），Akira也不例外。他们使用AnyDesk和LogMeIn持续访问受害组织，并将攻击行为伪装成管理员的正常操作。此外，黑客也利用远程桌面协议（RDP）及另一款远程连接工具MobaXterm进行横向移动。为规避检测，Akira会尝试卸载端点检测与响应（EDR）系统。

黑客使用Ngrok等公共工具建立隧道进行命令与控制（C2）通信，以绕过企业网络边界的监控。在执行攻击指令时，他们通过PowerShell和WMIC禁用服务并运行恶意脚本。