No podía pasar por alto mi artículo semanal, y como ya es costumbre, hoy te traigo un análisis detallado sobre uno de los actores de amenazas más notorios en el ámbito de la ciberseguridad: el ransomware Akira. Desde su aparición en marzo de 2023, estos ciberdelincuentes han logrado extorsionar alrededor de 42 millones de dólares de más de 250 víctimas hasta el 1 de enero de 2024.
¿Qué tal si desentrañamos sus tácticas, técnicas y procedimientos, así como su evolución y el impacto que han tenido en la seguridad cibernética global? Continúa leyendo, porque Akira sigue más fuerte que nunca.
La expansión de Ransomware Akira sin fronteras
Desde sus inicios, Akira ha dirigido sus ataques a una amplia variedad de empresas y entidades de infraestructura crítica en Estados Unidos, Europa y Australia. Las agencias de ciberseguridad de los Países Bajos y EE. UU., junto con el Centro Europeo de Ciberdelincuencia (EC3) de Europol, han alertado conjuntamente sobre este creciente peligro. Originalmente, Akira centraba sus esfuerzos en sistemas Windows, pero en abril de 2023 ampliaron su arsenal con una variante de Linux dirigida a las máquinas virtuales VMware ESXi, demostrando una peligrosa adaptabilidad.
Tecnología y técnica: Código en rust
La evolución tecnológica del ransomware Akira es digna de mención. Comenzaron utilizando una variante C++ del casillero en sus primeras etapas y, a partir de agosto de 2023, migraron a un código basado en Rust. Este cambio no solo mejora la eficacia del ransomware, sino que también dificulta la tarea de los defensores de ciberseguridad.
Akira no es una simple reminiscencia del ransomware homónimo de 2017; es una entidad completamente nueva y más sofisticada. Utilizan un algoritmo de cifrado híbrido que combina Chacha20 y RSA, lo que añade una capa extra de complejidad y seguridad a sus ataques. Además, tienen la capacidad de inhibir la recuperación del sistema eliminando instantáneas, del sistema afectado.
La Influencia de Conti
Una de las peculiaridades más destacadas de Akira es su base de código. Parte del código de Akira se basa en la filtración del código fuente del ransomware Conti, una antigua amenaza en el mundo del cibercrimen. Esto demuestra cómo los grupos de ransomware pueden aprender, adaptarse y mejorar utilizando los recursos de otros malware, expandiendo sus operaciones y afinando sus técnicas.
El camino del acceso y persistencia
El acceso inicial a las redes objetivo es facilitado mediante la explotación de fallas conocidas en dispositivos Cisco, como CVE-2020-3259 y CVE-2023-20269. Alternativamente, emplean tácticas de phishing, uso de credenciales válidas, y servicios de red privada virtual (VPN) sin protección de autenticación multifactor (MFA). Para establecer persistencia, Akira crea nuevas cuentas de dominio en los sistemas comprometidos y evade la detección abusando del controlador Zemana AntiMalware para finalizar procesos antivirus mediante el ataque Bring Your Own Vulnerable Driver (BYOVD).
Para la escalada de privilegios, confían en herramientas de extracción de credenciales como Mimikatz y LaZagne. El movimiento lateral dentro de la red se facilita a través de Windows RDP, mientras que la exfiltración de datos se realiza utilizando herramientas como FileZilla, WinRAR, WinSCP y RClone.
Afiliación y conexiones
Los datos de blockchain y el análisis de código fuente sugieren una afiliación probable entre Akira y la desaparecida banda de ransomware Conti. Esto subraya la sofisticación y los recursos a disposición de Akira, así como su conexión con una de las más notorias entidades de ransomware del pasado reciente.
Los rivales en el Ransomware
Mientras Akira sigue causando estragos, otros grupos de ransomware también están dejando su huella. LockBit, por ejemplo, ha enfrentado una significativa presión tras una amplia operación policial en febrero, que afectó gravemente su capacidad operativa y reputación. LockBit ha intentado recuperar su estatus publicando datos de víctimas antiguas y falsas, una estrategia que refleja su desesperación por mantenerse relevante. No en vano, tenemos varios artículos alusivos a LockBit como uno de los Ransomware más agresivos y evolutivos del mundo.
Por otro lado, el grupo Agenda, también conocido como Qilin y Water Galura, ha mostrado una evolución similar a Akira al utilizar una variante actualizada de Rust para atacar servidores VMWare vCenter y ESXi. Estos movimientos indican una tendencia creciente entre los actores de ransomware para apuntar a infraestructuras de máquinas virtuales.
La democracia del crimen cibernético
Una tendencia alarmante es el surgimiento del «ransomware crudo y barato». Este fenómeno permite a delincuentes de menor nivel adquirir herramientas de ransomware por tan solo $20, permitiéndoles realizar ataques significativos sin pertenecer a un grupo organizado. Esto democratiza el acceso al cibercrimen, aumentando el número de ataques y dificultando aún más la defensa.
Akira representa una evolución peligrosa en el panorama del ransomware, mostrando una adaptabilidad tecnológica y táctica que lo hace una amenaza formidable. La continua mutación de este y otros grupos de ransomware subraya la necesidad de mantenernos vigilantes y preparados. La ciberseguridad es un juego constante y en este juego, la información y la preparación son nuestras mejores armas.
Y como siempre, mantenerse seguros y alerta, es la mejor defensa contra el Ransomware.
¡Comparte esta entrada, elige tu plataforma!
Relacionados
Crecen más de 60% los ataques de ransomware en México
El nuevo informe de Palo Alto Networks, descubrió que los ataques de ransomware se han convertido cada vez más en una forma sofisticada de delito cibernético que puede poner en peligro a grandes empresas, agencias gubernamentales e infraestructuras críticas. El estudio de Unit 42, grupo de investigadores de amenazas, personal de respuesta ante incidentes y consultores de seguridad
2 MANERAS EN QUE TU TARJETA SIM PUEDE SER HACKEADA (Y CÓMO PROTEGERLA)
Probablemente sepas que el sistema operativo de tu smarpthone debes actualizarlo regularmente para protegerlo contra vulnerabilidades de seguridad. Pero tu tarjeta SIM también puede ser una fuente de vulnerabilidades de seguridad. Aquí te mostraré algunas formas en que los hackers pueden usar las tarjetas SIM para obtener acceso a los dispositivos, y consejos sobre cómo puedes
Los usuarios “descuidados” son la primera causa de perdida de datos
Los resultados de un estudio ponen de manifiesto que los empleados despistados o malintencionados son responsables de la gran mayoría de los incidentes relacionados con los datos en las organizaciones. El estudio elaborado por Proofpoint Data Loss Landscape analiza cómo los enfoques actuales de prevención de pérdida de datos (DLP) y amenazas internas están adaptándose a los
Chilango Leaks: hackers de Mexican Mafia ‘desnudan’ al gobierno de CDMX
Piratas informáticos robaron correos de dependencias como el Heroico Cuerpo de Bomberos, Secretaría de Obras y Servicios, Procuraduría Social, entre muchas otras El gobierno de la Ciudad de México fue atacado a través de una vulnerabilidad que desde 2019 se advirtió y que, pese a constantes avisos, no se resguardó de manera adecuada. De esta manera, hackers
Guía para evitar eficazmente el Ransomware
Imagina que estás trabajando en tu oficina, cuando de repente tu computadora se bloquea. Intentas reiniciarla, pero no funciona. Al abrir un archivo, aparece un mensaje que te pide pagar un rescate para recuperar tu acceso. Este es el escenario que enfrentan miles de empresas e individuos que son víctimas de ransomware, un tipo de
¿Qué es el secuestro de datos informáticos y cómo evitarlo?
El secuestro de datos informáticos, conocido como ransomware, representa una seria amenaza para la seguridad digital. Este artículo explorará sus aspectos clave y proporcionará estrategias efectivas para prevenirlo. Para obtener servicios especializados que refuercen tu defensa contra estas amenazas, visita nuestra página de Servicios de Ciberseguridad. ¿Cómo funciona el secuestro de datos informáticos? Esta forma