O grupo de ransomware Akira extorquiu aproximadamente US$ 42 milhões após comprometer as redes de mais de 250 vítimas até 1º de janeiro de 2024. Desde março de 2023, o Akira afetou uma variedade de empresas e entidades de infraestrutura crítica na América do Norte, Europa e Austrália.

A partir de abril de 2023, o grupo começou a usar uma variante Linux para direcionar servidores VMware ESXi, depois de focar inicialmente em sistemas Windows. O acesso inicial às redes-alvo é obtido por meio de exploração de falhas conhecidas em dispositivos Cisco (como CVE-2020-3259 e CVE-2023-20269), além de outros vetores como o uso de Remote Desktop Protocol (RDP), spear-phishing, credenciais válidas e serviços VPN sem autenticação multifator.

Os atores do Akira utilizam técnicas para manter a persistência, criando novas contas de domínio nos sistemas comprometidos e explorando um método conhecido como Bring Your Own Vulnerable Driver (BYOVD), que utiliza drivers vulneráveis para contornar processos de segurança. Para escalar privilégios, eles usam ferramentas de raspagem de credenciais como Mimikatz e LaZagne, enquanto o RDP é utilizado para movimentação lateral dentro da rede da vítima. O ransomware Akira usa um algoritmo de criptografia híbrido para criptografar sistemas. Além disso, ele pode inibir a recuperação do sistema apagando cópias de sombra do sistema afetado.