No podía pasar por alto mi artículo semanal, y como ya es costumbre, hoy te traigo un análisis detallado sobre uno de los actores de amenazas más notorios en el ámbito de la ciberseguridad: el ransomware Akira. Desde su aparición en marzo de 2023, estos ciberdelincuentes han logrado extorsionar alrededor de 42 millones de dólares de más de 250 víctimas hasta el 1 de enero de 2024.
¿Qué tal si desentrañamos sus tácticas, técnicas y procedimientos, así como su evolución y el impacto que han tenido en la seguridad cibernética global? Continúa leyendo, porque Akira sigue más fuerte que nunca.
Desde sus inicios, Akira ha dirigido sus ataques a una amplia variedad de empresas y entidades de infraestructura crítica en Estados Unidos, Europa y Australia. Las agencias de ciberseguridad de los Países Bajos y EE. UU., junto con el Centro Europeo de Ciberdelincuencia (EC3) de Europol, han alertado conjuntamente sobre este creciente peligro. Originalmente, Akira centraba sus esfuerzos en sistemas Windows, pero en abril de 2023 ampliaron su arsenal con una variante de Linux dirigida a las máquinas virtuales VMware ESXi, demostrando una peligrosa adaptabilidad.
La evolución tecnológica del ransomware Akira es digna de mención. Comenzaron utilizando una variante C++ del casillero en sus primeras etapas y, a partir de agosto de 2023, migraron a un código basado en Rust. Este cambio no solo mejora la eficacia del ransomware, sino que también dificulta la tarea de los defensores de ciberseguridad.
Akira no es una simple reminiscencia del ransomware homónimo de 2017; es una entidad completamente nueva y más sofisticada. Utilizan un algoritmo de cifrado híbrido que combina Chacha20 y RSA, lo que añade una capa extra de complejidad y seguridad a sus ataques. Además, tienen la capacidad de inhibir la recuperación del sistema eliminando instantáneas, del sistema afectado.
Una de las peculiaridades más destacadas de Akira es su base de código. Parte del código de Akira se basa en la filtración del código fuente del ransomware Conti, una antigua amenaza en el mundo del cibercrimen. Esto demuestra cómo los grupos de ransomware pueden aprender, adaptarse y mejorar utilizando los recursos de otros malware, expandiendo sus operaciones y afinando sus técnicas.
El acceso inicial a las redes objetivo es facilitado mediante la explotación de fallas conocidas en dispositivos Cisco, como CVE-2020-3259 y CVE-2023-20269. Alternativamente, emplean tácticas de phishing, uso de credenciales válidas, y servicios de red privada virtual (VPN) sin protección de autenticación multifactor (MFA). Para establecer persistencia, Akira crea nuevas cuentas de dominio en los sistemas comprometidos y evade la detección abusando del controlador Zemana AntiMalware para finalizar procesos antivirus mediante el ataque Bring Your Own Vulnerable Driver (BYOVD).
Para la escalada de privilegios, confían en herramientas de extracción de credenciales como Mimikatz y LaZagne. El movimiento lateral dentro de la red se facilita a través de Windows RDP, mientras que la exfiltración de datos se realiza utilizando herramientas como FileZilla, WinRAR, WinSCP y RClone.
Los datos de blockchain y el análisis de código fuente sugieren una afiliación probable entre Akira y la desaparecida banda de ransomware Conti. Esto subraya la sofisticación y los recursos a disposición de Akira, así como su conexión con una de las más notorias entidades de ransomware del pasado reciente.
Mientras Akira sigue causando estragos, otros grupos de ransomware también están dejando su huella. LockBit, por ejemplo, ha enfrentado una significativa presión tras una amplia operación policial en febrero, que afectó gravemente su capacidad operativa y reputación. LockBit ha intentado recuperar su estatus publicando datos de víctimas antiguas y falsas, una estrategia que refleja su desesperación por mantenerse relevante. No en vano, tenemos varios artículos alusivos a LockBit como uno de los Ransomware más agresivos y evolutivos del mundo.
Por otro lado, el grupo Agenda, también conocido como Qilin y Water Galura, ha mostrado una evolución similar a Akira al utilizar una variante actualizada de Rust para atacar servidores VMWare vCenter y ESXi. Estos movimientos indican una tendencia creciente entre los actores de ransomware para apuntar a infraestructuras de máquinas virtuales.
Una tendencia alarmante es el surgimiento del «ransomware crudo y barato». Este fenómeno permite a delincuentes de menor nivel adquirir herramientas de ransomware por tan solo $20, permitiéndoles realizar ataques significativos sin pertenecer a un grupo organizado. Esto democratiza el acceso al cibercrimen, aumentando el número de ataques y dificultando aún más la defensa.
Akira representa una evolución peligrosa en el panorama del ransomware, mostrando una adaptabilidad tecnológica y táctica que lo hace una amenaza formidable. La continua mutación de este y otros grupos de ransomware subraya la necesidad de mantenernos vigilantes y preparados. La ciberseguridad es un juego constante y en este juego, la información y la preparación son nuestras mejores armas.
Y como siempre, mantenerse seguros y alerta, es la mejor defensa contra el Ransomware.