El grupo de ransomware Akira ha generado alrededor de 42 millones de dólares en ingresos en el período comprendido entre marzo de 2023 y enero de 2024, según un aviso conjunto de Europol y agencias gubernamentales de EE. UU. y Holanda. Se cree que el actor de ransomware como servicio (RaaS) ha impactado a más de 250 organizaciones en América del Norte, Europa y Australia durante este período, siendo víctimas una amplia gama de empresas y organizaciones de infraestructura crítica. El aviso, publicado por la Oficina Federal de Investigaciones (FBI) de EE. UU., la Agencia de Seguridad Cibernética y de Infraestructura (CISA), el Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL), advirtió a las organizaciones sobre Las tácticas, técnicas y procedimientos (TTP) en evolución de Akira y le aconsejaron cómo defenderse de ellos. Cómo Akira infecta organizaciones con ransomware Akira es un grupo cibercriminal relativamente nuevo, que parece lanzarse en el primer trimestre de 2023. Desde entonces, el Informe sobre delitos en Internet 2023 del FBI encontró que Akira fue la tercera variante de ransomware más común que afectó la infraestructura crítica en 2023, detrás de LockBit y ALPHV/Gato Negro. El nuevo aviso señaló que los actores de amenazas de Akira se centraron inicialmente en los sistemas Windows, pero en abril de 2023 desarrollaron una variante de Linux dirigida a las máquinas virtuales VMware ESXi. Los afiliados de Akira usan cepas escritas en C++ y Rust, y usan extensiones .akira y .powerranges. Las técnicas de acceso inicial utilizadas por los actores de amenazas de Akira incluyen: Uso de vulnerabilidades conocidas de Cisco para acceder a organizaciones a través de un servicio de red privada virtual (VPN) sin autenticación multifactor (MFA) configurada Uso de servicios externos como el Protocolo de escritorio remoto (RDP) Spear ataques de phishing Abuso de credenciales Después del acceso inicial, los afiliados crean nuevas cuentas de dominio para establecer la persistencia. También se les ha observado aprovechando técnicas de ataque posteriores a la explotación, como Kerberoasting, para extraer credenciales almacenadas en la memoria de proceso del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS). Las herramientas de extracción de credenciales como Mimikatz y LaZagne se utilizan para ayudar en la escalada de privilegios, mientras que otras herramientas como SoftPerfect y Advanced IP Scanner se utilizan a menudo con fines de reconocimiento. Para aumentar las posibilidades de éxito, se ha observado que algunos actores de amenazas de Akira implementan dos variantes distintas de ransomware contra diferentes arquitecturas de sistemas dentro del mismo evento de compromiso. También suelen desactivar el software de seguridad de las víctimas para evitar la detección, como el uso de PowerTool para explotar el controlador Zemana AntiMalware y finalizar los procesos relacionados con el antivirus. Las filiales de Akira aprovechan las herramientas de técnicas de exfiltración y cifrado como FileZilla, WinRAR, WinSCP y RClone para exfiltrar datos de las víctimas. La exfiltración se permite a través de varios protocolos, como el Protocolo de transferencia de archivos (FTP), el Protocolo seguro de transferencia de archivos (SFTP) y servicios de almacenamiento en la nube como Mega, con herramientas fácilmente disponibles como AnyDesk y el túnel Cloudflare que se utilizan para establecer canales de comando y control. El aviso observó que los actores de Akira suelen emplear un modelo de doble extorsión, mediante el cual los sistemas se cifran después de extraer datos. Esto les permite ejercer más presión sobre las víctimas amenazando con publicar datos exfiltrados en la red Tor. La nota de rescate de Akira proporciona a cada empresa un código único e instrucciones para contactar a los actores de la amenaza a través de una URL .onion. Los pagos de rescate se solicitan en Bitcoin a direcciones de billeteras de criptomonedas proporcionadas por los actores de la amenaza. Se emplea un sofisticado esquema de cifrado híbrido para bloquear los datos, capaz de cifrarse total o parcialmente. La recuperación del sistema se ve inhibida aún más por el cifrador de Akira que utiliza comandos de PowerShell para eliminar instantáneas de volumen (VSS) en sistemas Windows. Cómo defenderse contra los ataques de Akira El FBI, CISA, EC3 y NCSC-NL brindaron una variedad de recomendaciones para que los defensores se protejan contra las tácticas empleadas por Akira, que incluyen: Implementar un plan de recuperación para mantener y retener múltiples copias de datos confidenciales o de propiedad exclusiva. y servidores en una ubicación físicamente separada, segmentada y segura Exigir que todas las cuentas con inicios de sesión con contraseña cumplan con la guía del Instituto Nacional de Estándares y Tecnología (NIST) Aplicar MFA para todos los servicios, particularmente correo web, VPN y cuentas que acceden a sistemas críticos Mantener todos en funcionamiento sistemas, software y firmware actualizados, con parches oportunos Emplear segmentación de red para evitar la propagación de ransomware en el sistema Filtrar el tráfico de red evitando que orígenes desconocidos o no confiables accedan a servicios remotos en sistemas internos Implementar acceso basado en tiempo para cuentas configuradas en el nivel de administrador y superior Deshabilite las actividades y permisos de línea de comandos y secuencias de comandos Asegúrese de que todos los datos de respaldo estén cifrados y sean inmutables