Akira 勒索軟體 2025 最新攻擊手法解析

admin 資訊安全 0 minutes read

Akira 勒索軟體 2025 最新攻擊手法與中小企業防護清單

近一年來,Akira 勒索軟體持續活躍,國際資安單位在 2025 年 11 月再次發布更新通告,指出 Akira 不只鎖定一般伺服器,還開始加密 Nutanix AHV 虛擬機,並搭配防火牆與備份系統漏洞進行攻擊。
同一時間,10 月全球勒索攻擊量較前一個月成長約 30%,整體風險明顯升溫。

 

 

Akira 為何在 2025 仍然值得關注?

最新的聯合通告指出,Akira 仍在持續攻擊包含 關鍵基礎設施、中小企業與大型企業 在內的各種組織,並透過「先竊資料、再加密」的雙重勒索模式獲取高額贖金。到 2025 年 9 月底為止,累積勒索收益已超過 2.4 億美元。

另一方面,10 月全球勒索攻擊數量明顯上升:有報告統計單月即超過 600~800 起攻擊,較前月約增加三到五成,顯示整體勒索生態並沒有降溫的跡象。

 

 

Akira 最新攻擊手法與常見入侵路徑

1. 入口:利用 SonicWall 等設備漏洞

多份分析指出,過去一年 SonicWall 防火牆的 SSL VPN 漏洞(CVE-2024-40766) 是 Akira 常用的進入點之一;若企業沒有及時更新 SonicOS,攻擊者就能直接從網路邊界打進來。

除了 SonicWall,報告也提醒各種 VPN、防火牆與邊界設備,只要存在已知重大漏洞卻未修補,都有機會被當作入口。

2. 橫向移動:AD、檔案伺服器與管理帳號

取得初始存取後,Akira 會想辦法拿到更高權限,常見方式包括:

  • 竊取或暴力破解 AD / 伺服器管理帳號

  • 使用合法遠端工具(如 AnyDesk、LogMeIn)在內網橫向移動

  • 尋找備份、虛擬化、檔案伺服器等「高價值資產」

這些行為在日誌上看起來像「正常維運」,如果沒有良好監控,很容易被忽略。

3. 關鍵目標:Nutanix AHV、ESXi 與備份系統

最新通告與媒體報導指出,Akira 現在不只加密 VMware ESXi、Hyper-V,還開始鎖定 Nutanix AHV 虛擬機磁碟檔,這是國家級資安機構首次公開指出有勒索軟體針對 AHV 平臺。

同時,Akira 也會利用 Veeam Backup & Replication 等備份產品的已知漏洞,入侵備份伺服器、刪除或加密備份,讓受害者即使有備份也難以還原。

 

 

中小企業必做的三大資安檢查重點

1. 防火牆與 VPN:補洞+收斂對外面

  • 盤點是否使用 SonicWall、Fortinet、Cisco 等設備,確認韌體版本是否在最新或官方建議版本。

  • 檢查管理介面、SSL VPN 是否直接對外開放,盡量改為:只允許特定 IP、必須經過跳板機或 VPN。

  • 所有遠端登入與管理帳號強制啟用 MFA。

2. 虛擬化與備份:把「最後一道防線」顧好

  • ESXi / Hyper-V / Nutanix AHV 管理介面只允許內網或管理網段存取,管理帳號權限切分。

  • 備份伺服器(含 Veeam、NAS)採用最小權限,備份帳號僅能讀取來源,不要同時有刪除權。

  • 落實 3-2-1 備份策略,至少保留一份離線或不可變更(immutable)備份,並定期演練還原。

3. 日誌與告警:讓異常「有機會被看到」

  • 監控非上班時間的 VPN / RDP 登入與失敗次數異常。

  • 針對「大量刪除備份、停用備份工作、短時間大量檔案被改名或加密」設告警。

  • 若有 SOC / MDR 服務,可請廠商協助建立 Akira 相關 IOC 與偵測規則。

 

 

建立自己的勒索防護清單與應變流程

最後,建議企業至少準備三件事:

  1. 文件化的防護清單:列出重要設備、系統、版本與負責人,定期檢查修補與設定。

  2. 簡單但可執行的事件通報流程:誰負責隔離設備、誰統一對外說明、哪些單位需要第一時間通知(主管、法務、客戶)。

  3. 固定追蹤通告來源:例如 CISA、NCSC、iThome 等資安新聞,看到與自己設備相關的通告就納入修補計畫。

 

面對 Akira 這類持續演化的勒索攻擊,中小企業很難只靠內部人力把防火牆、VPN、虛擬機與備份全部顧到位。如果你希望有人一起檢查目前的網路設備設定、備份策略與事件應變流程,高宏資訊 KAOHOM 提供包含資訊委外資安健檢備份與災難復原規劃網站與主機代管等服務,我們可以先從一份簡單的現況盤點開始,為你找出最優先需要補強的環節,讓公司在面對勒索威脅時多一層保障。

 

延伸閱讀:Akira 勒索軟體與 2025 勒索趨勢

#StopRansomware: Akira Ransomware

Akira ransomware is now targeting Nutanix VMs - and scoring big rewards

October 2025 Attacks Soar 30% as New Groups Redefine the Cyber Battlefield