攻击警报:akira 瞄准 Advanced Power - GB
Introduction
2025年12月5日,成立于1995年的英国工业电气设备供应商Advanced Power遭遇了akira勒索软件组织的网络攻击。这家总部位于英国的公司年营业额估计在500万至1000万英镑之间,拥有10至50名员工,其掌握着敏感的客户数据、工业控制系统和关键技术信息,而这些信息目前可能已被泄露。根据DataInTheDark的XC-Classify方法,此次事件被评为SIGNAL级别,引发了人们对工业设备行业的严重担忧,该行业尤其容易受到运营中断的影响。此次攻击是akira针对关键基础设施和企业网络采取双重勒索策略的一部分,该策略结合了系统加密和发布泄露数据的威胁。
对此次事件的分析揭示了英国工业设备供应商面临的日益增长的风险,他们的技术系统和客户数据库是恶意攻击者的主要目标。潜在的后果远不止Advanced Power一家公司,它还威胁到其整个供应链和工业合作伙伴。通过 Polygon 区块链上的 XC-Audit 协议对此次攻击进行认证,可确保透明且可验证的可追溯性,使该行业的组织能够准确评估其面临的风险。
Analyse détaillée
自 2023 年 3 月出现以来,Akira 一直是最活跃的勒索软件威胁之一。这个网络犯罪团伙的特点是能够同时入侵 Windows 和 Linux 环境,尤其擅长攻击用于企业虚拟化的 VMware ESXi 服务器。与通过关联方租用恶意基础设施的勒索软件即服务 (RaaS) 模式不同,Akira 独立运作,对其运营和受害者保持完全控制。
Akira 的作案手法依赖于一种特别强大的双重勒索策略。攻击者首先窃取大量敏感数据,然后再部署其恶意加密载荷。这种方法最大限度地加大了受害者的压力:即使他们有可用的备份,数据仍可能被发布到托管在 Tor 网络上的泄露网站上。根据目标规模和重要性,勒索金额差异巨大,从 20 万美元到 400 万美元不等,且始终要求以比特币支付,以确保交易匿名性。
Akira 的技术武器库利用多种初始攻击途径。该组织主要针对未打补丁的 VPN 服务,利用已知但未修复的漏洞,在企业网络中建立隐蔽的入口。被盗用的远程桌面协议 (RDP) 凭据是另一个常用的攻击途径,通常通过有针对性的网络钓鱼活动或在地下论坛上购买获得。一旦获得初始访问权限,Akira 就会滥用合法的远程管理工具来维持其持久性,并在受感染的网络中横向扩展其影响力。
Windows 版本的勒索软件利用微软的原生加密 API 加密文件,并在被加密的文档中添加“.akira”扩展名。开发者还加入了复杂的规避逻辑,故意将关键系统文件夹排除在加密过程之外,以维持系统稳定性并避免过早被发现。教育、制造业和医疗保健行业是该集团的主要攻击目标,他们不断改进规避技术,并提升最新变种的加密速度。
成立于1995年的Advanced Power公司已成为英国工业电气设备市场的重要参与者。凭借三十年的经验,该公司积累了尖端技术专长,并在工业领域建立了忠实的客户群。其营业额估计在500万至1000万英镑之间,反映了其在高度专业化的细分市场中的显著活跃度。
该公司拥有10至50名员工,体现了其灵活的组织结构,这在工业设备领域的专业中小企业中很常见。然而,这种规模的公司也存在一些特定的网络安全漏洞:资源有限,难以维持专门的IT安全团队;用于高级防护解决方案的预算有限;以及可能依赖外部供应商进行IT基础设施管理。
Advanced Power的业务性质涉及处理高度敏感的数据。客户信息包括详细的技术规格、安装图、工业控制系统配置,以及可能与其客户关键基础设施相关的数据。工业电力行业使用的监控与数据采集 (SCADA) 系统是恶意攻击者的高价值目标,因为一旦系统遭到入侵,可能导致严重的运营中断。
Advanced Power 公司位于英国,因此必须遵守英国关于数据保护和关键基础设施安全的严格监管框架。英国对工业设备供应商,尤其是那些在敏感行业运营的供应商,有着很高的标准。该公司遭受攻击引发了人们对其整个供应链安全以及与其工业合作伙伴共享的技术信息保护的担忧。
根据 DataInTheDark 的 XC-Classify 方法,2025 年 12 月 5 日发生的事件的风险等级被评为“信号”级别。该级别表明在确认大规模数据泄露之前,恶意活动已被早期检测到。这种分类使该行业的组织能够预测潜在风险并主动启动其事件响应协议。
Advanced Power 持有的数据性质表明其面临多维度的风险。客户信息可能包含工业电气装置的详细技术规格、接线图、配电系统配置,以及控制系统的访问数据。这些信息对于以关键基础设施为目标或试图入侵Advanced Power最终客户的恶意攻击者而言具有战略价值。
初始攻击途径仍在调查中,但Akira已知的作案手法表明存在几种可能的场景。对于Advanced Power这样规模的公司而言,利用未打补丁的VPN服务是最合理的假设,因为这类公司通常面临预算限制,导致安全更新频率较低。如果Advanced Power为其现场技术人员使用远程访问解决方案,那么泄露的RDP凭证也是一个可信的替代方案。
事件时间线显示,事件于2025年12月5日被发现,但初始入侵可能发生在几周之前。Akira通常采取耐心策略,在进行大规模数据窃取和部署勒索软件之前,先在受感染的网络中建立隐蔽的存在。这种策略使攻击者能够在发起最终攻击前识别最有价值的资产、了解网络架构并禁用备份解决方案。
数据泄露的风险远不止于机密性问题。工业电气设备的技术规格可能暴露终端客户设施中可利用的漏洞。泄露的工业控制系统配置可能为后续针对关键基础设施的攻击提供便利。合同和商业信息会损害Advanced Power的竞争地位,并使其客户面临二次攻击的风险。
Questions Fréquentes
When did the attack by akira on Advanced Power occur?
The attack occurred on December 5, 2025 and was claimed by akira. The incident can be tracked directly on the dedicated alert page for Advanced Power.
Who is the victim of akira?
The victim is Advanced Power and operates in the industrial equipment sector. The company is located in United Kingdom. Visit Advanced Power's official website. To learn more about the akira threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Advanced Power?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Advanced Power has been claimed by akira but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
针对Advanced Power的攻击凸显了英国工业设备行业的系统性漏洞。电气设备供应商在关键基础设施供应链中占据战略地位,因此他们的安全受到威胁尤其令人担忧。一旦其运营中断或技术数据泄露,可能会引发连锁反应,影响到依赖其产品和服务的多个行业。