CISA uppdaterar Akira-varning när ransomware tjänat 244 miljoner dollar

5 Lästid / april 3, 2026

CISA publicerade en uppdaterad gemensam varning om Akira ransomware den 13 november och varnade att gruppen har tjänat 244 miljoner dollar i lösenbetalningar sedan mars 2023 samt intensifierat sina angrepp mot kritisk infrastruktur. Varningen återspeglar ny underrättelseinformation om gruppens taktik, inklusive användning av en Akira_v2-variant som möjliggör snabbare kryptering och orsakar djupare systemskador.

Tidpunkten är viktig. Akira, som CISA kopplar till Storm-1567, Howling Scorpius, Punk Spider och Gold Sahara, har gått från opportunistiska angrepp till ihållande kampanjer mot samhällsviktig verksamhet. Gruppen drabbade svensk infrastruktur hårt i januari 2024 när den angrep Tietoevry:s datacenter, vilket störde statliga lönesystem och tvingade biografkedjor och butiker offline i veckor.

Nya varianten förändrar återställningskalkylen

Akira_v2 representerar en taktisk förändring. Enligt CISAs analys krypterar den Rust-baserade varianten filer snabbare än tidigare versioner och ”försvårar systemåterställning ytterligare”. Det tyder på att gruppen har löst ett centralt ransomware-problem: att ge offren tillräckligt hopp om återställning för att motivera betalning istället för att bygga om från grunden.

Gruppen använder flera krypteringsverktyg beroende på målmiljön. Windows-system drabbas av den ursprungliga C++-baserade Akira-varianten eller nyare Rust-baserade verktyg. Linuxmiljöer drabbas specialbyggda varianter som riktar sig mot VMware ESXi och, sedan juni 2025, virituella maskiner i Nutanix AHV. CISA analys bekräftar att Akira utnyttjade CVE-2024-40766, en sårbarhet i SonicWall, för att nå Nutanix-miljön i vad som verkar vara det första dokumenterade angreppet mot plattformen.

Megazord-varianten, som krypterade filer med .powerranges-tillägg, har i stort sett tagits ur bruk sedan 2024, enligt CISA:s bedömning. Men grundproblemet kvarstår: Akira har fungerande dekrypteringsverktyg, vilket skiljer gruppen från andra som lovar nycklar de inte kan leverera.

Sverige lärde sig den hårda vägen om riskerna med molnexponering

Tietoevry-angreppet i januari 2024 visade hur snabbt ett enda komprometterat datacenter kan orsaka kaskadeffekter över ett helt lands digitala infrastruktur. Akira angrep det finska företagets svenska anläggning genom att utnyttja CVE-2023-20269, en Cisco ASA VPN-sårbarhet som hade patchats fyra månader tidigare. Angreppet krypterade virtualiseringsservrar som fungerade som värd för applikationer åt stora svenska företag och myndigheter.

Biografkedjan Filmstaden kunde inte sälja biljetter online. Butikskedjan Rusta höll sina fysiska butiker öppna men förlorade sin e-handeln helt. Mest kritiskt störde angreppet Primula, ett lönesystem som används av svenska universitet och över 30 myndigheter inklusive Statens servicecenter, som hanterar administrativa tjänster för nästan 170 statliga myndigheter.

Januarilönerna hade bearbetats före angreppet, men incidenten blottlade hur beroende Sveriges offentliga sektor blivit av en enda molnleverantörs infrastruktur. Akiras angrepp riktade sig specifikt mot Tietoevrys virtualiserings- och hanteringsservrar och krypterade plattformarna som fungerade som värd för webbplatser och applikationer hos dussintals svenska organisationer samtidigt.

VPN-problemet förbättras inte

CISAss varning bekräftar att Akira fortsätter att utnyttja VPN-enheter som primär intrångsväg, särskilt mot organisationer som inte implementerat multifaktorautentisering. Gruppen har observerats utnyttja CVE-2020-3259 och CVE-2023-20269 i Cisco-enheter samt CVE-2024-40766 i SonicWall-enheter.

Men SonicWall-kampanjen som började i juli 2025 visade en taktisk utveckling. Istället för att angripa slumpmässiga sårbara enheter riktade Akira sig specifikt mot finansinstituts fjärråtkomstinfrastruktur. Enligt varningen representerar detta en mer strategiskt tillvägagångssätt för val av offer, baserad på sektorspecifika angreppsytor.

Gruppen demonstrerade också nya persistenstekniker genom att använda tunnelverktyg som Ngrok för att etablera krypterade kommando- och kontrollsessioner som är svårare att upptäcka och störa. Dessa sessioner ger Akira-operatörer den åtkomst de behöver för att exfiltrera data med verktyg som WinRAR, FileZilla och RClone innan de distribuerar krypteringspayloaden.

Vad 244 miljoner dollar-siffran faktiskt betyder

CISAs siffra på 244 miljoner dollar baseras på lösenbetalningar som gruppen har bekräftat att de mottagit, inte på totala krav som har ställts. Detta är en kritisk distinktion. De flesta kartläggningar av ransomware förlitar sig på läckagesidor och offentliga avslöjanden, som vanligtvis speglar misslyckade förhandlingar snarare än framgångsrika utpressningar. CISAs siffra tyder på att brottsbekämpande myndigheter har djupare insyn i Akiras finansiella verksamhet än vanligt.

Den nivån av finansiell framgång förklarar varför Akira har upprätthållit bättre operativ säkerhet än många andra ransomware-grupper. Varningen noterar kopplingar till den nedlagda Conti-verksamheten men behandlar attribueringen försiktigt och beskriver kopplingarna som analytiska bedömningar snarare än bekräftade fakta. Den återhållsamheten är rimlig med tanke på hur snabbt attributionspåståenden sprids i säkerhetsbranschens rapportering.

Patcha dessa CVE:er nu

CISAs varning ger en tydlig prioritetslista. Organisationer som kör Cisco ASA eller Firepower Threat Defense-enheter bör verifiera att patchar för CVE-2020-3259 och CVE-2023-20269 är installerade. SonicWall-användare behöver åtgärda CVE-2024-40766 omedelbart. Veeam Backup and Replication-miljöer kräver patchar för CVE-2023-27532 och CVE-2024-40711.

Men patchning ensam räcker inte. CISA betonar att multifaktorautentisering måste verkställas på alla VPN-anslutningar, inte bara implementeras som ett alternativ. Varningen rekommenderar också regelbunden testning av säkerhetskopior och noterar att Akira specifikt riktar sig mot säkerhetskopieringssystem för att förhindra återställning utan lösenbetalning.

Organisationer bör också granska sina molntjänstberoenden. Tietoevry-incidenten visade att en enda komprometterad leverantör kan påverka dussintals nedströms kunder samtidigt. Att ha reservåtkomst till kritiska system genom alternativa leverantörer kan vara värt den extra kostnaden.