¿Está su organización a salvo de los ataques del ransomware Akira?

El origen del ransomware Akira

El grupo de ransomware Akira, observado por primera vez en 2023, es conocido por sus sofisticados ataques de ransomware dirigidos a diversas industrias de todo el mundo. Este grupo opera bajo un modelo de ransomware como servicio (RaaS), que permite a los afiliados utilizar el ransomware a cambio de una parte de los pagos de rescate. El origen de Akira sigue sin estar claro, pero sus actividades sugieren un alto nivel de conocimientos técnicos y organización.

^{Cartografía:}^OCD

Objetivos

Objetivos del ransomware Akira

Países objetivo de Akira

Akira ha demostrado un alcance global, con ataques confirmados en Norteamérica, Europa y Asia. Su patrón de ataque indiscriminado sugiere un enfoque en la explotación de sistemas vulnerables independientemente de su ubicación geográfica.

^{Fuente de la imagen:}^SOCradar

Industrias objetivo de Akira

El ransomware Akira se ha dirigido a un amplio abanico de industrias, como la sanidad, los servicios financieros, la educación y la fabricación. Sus ataques han interrumpido servicios y operaciones críticas, causando importantes daños financieros y de reputación a las organizaciones afectadas.

^{Fuente de la captura de pantalla:}^Cyble

Industrias objetivo de Akira

El ransomware Akira se ha dirigido a un amplio abanico de industrias, como la sanidad, los servicios financieros, la educación y la fabricación. Sus ataques han interrumpido servicios y operaciones críticas, causando importantes daños financieros y de reputación a las organizaciones afectadas.

^{Fuente de la captura de pantalla:}^Cyble

Las víctimas de Akira

Akira ha atacado a más de 282 víctimas. Entre las víctimas más destacadas se encuentran importantes instituciones sanitarias, destacadas universidades y destacadas empresas financieras. Estos ataques suelen provocar la filtración de datos confidenciales, que luego se utilizan para presionar a las víctimas para que paguen el rescate.

^Fuente:^{ransomware.live}

Método de ataque

Método de ataque de Akira

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Akira suele obtener acceso inicial a través de correos electrónicos de phishing , explotando vulnerabilidades en aplicaciones públicas o aprovechando credenciales comprometidas. A menudo utilizan spear-phishing para atacar a personas concretas dentro de las organizaciones.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Una vez dentro de la red, Akira utiliza varias técnicas para escalar privilegios, como explotar vulnerabilidades conocidas y utilizar herramientas administrativas legítimas para obtener acceso de nivel superior.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Para evitar ser detectado, Akira emplea sofisticadas técnicas de evasión, como desactivar el software de seguridad, utilizar ofuscación y borrar registros para cubrir sus huellas.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Akira recopila credenciales mediante keylogging, volcado de credenciales y el uso de herramientas como Mimikatz para recopilar contraseñas de los sistemas infectados.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

El grupo lleva a cabo un reconocimiento exhaustivo para trazar el mapa de la red, identificar los activos críticos y comprender la estructura de la organización. Para ello utilizan herramientas como PowerShell y scripts personalizados.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Akira se mueve lateralmente a través de la red utilizando credenciales comprometidas, explotando las relaciones de confianza y utilizando herramientas como RDP y SMB para propagarse.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

La recopilación de datos consiste en reunir información sensible, propiedad intelectual y datos personales, que luego se filtran con fines de extorsión.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

La carga útil del ransomware se ejecuta, cifrando los archivos de los sistemas de la víctima. Akira utiliza algoritmos de cifrado robustos para garantizar que los archivos no puedan recuperarse sin la clave de descifrado.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Antes del cifrado, Akira exfiltra datos confidenciales a servidores externos bajo su control, aprovechando canales de comunicación cifrados para evitar ser detectados.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

La fase de impacto implica la finalización del cifrado y la entrega de la nota de rescate, que exige el pago a cambio de la clave de descifrado y la promesa de eliminar los datos exfiltrados.

Acceso inicial

Akira suele obtener acceso inicial a través de correos electrónicos de phishing , explotando vulnerabilidades en aplicaciones públicas o aprovechando credenciales comprometidas. A menudo utilizan spear-phishing para atacar a personas concretas dentro de las organizaciones.

Escalada de privilegios

Una vez dentro de la red, Akira utiliza varias técnicas para escalar privilegios, como explotar vulnerabilidades conocidas y utilizar herramientas administrativas legítimas para obtener acceso de nivel superior.

Defensa Evasión

Para evitar ser detectado, Akira emplea sofisticadas técnicas de evasión, como desactivar el software de seguridad, utilizar ofuscación y borrar registros para cubrir sus huellas.

Acceso con credenciales

Akira recopila credenciales mediante keylogging, volcado de credenciales y el uso de herramientas como Mimikatz para recopilar contraseñas de los sistemas infectados.

Descubrimiento

El grupo lleva a cabo un reconocimiento exhaustivo para trazar el mapa de la red, identificar los activos críticos y comprender la estructura de la organización. Para ello utilizan herramientas como PowerShell y scripts personalizados.

Movimiento lateral

Akira se mueve lateralmente a través de la red utilizando credenciales comprometidas, explotando las relaciones de confianza y utilizando herramientas como RDP y SMB para propagarse.

Colección

La recopilación de datos consiste en reunir información sensible, propiedad intelectual y datos personales, que luego se filtran con fines de extorsión.

Ejecución

La carga útil del ransomware se ejecuta, cifrando los archivos de los sistemas de la víctima. Akira utiliza algoritmos de cifrado robustos para garantizar que los archivos no puedan recuperarse sin la clave de descifrado.

Exfiltración

Antes del cifrado, Akira exfiltra datos confidenciales a servidores externos bajo su control, aprovechando canales de comunicación cifrados para evitar ser detectados.

Impacto

La fase de impacto implica la finalización del cifrado y la entrega de la nota de rescate, que exige el pago a cambio de la clave de descifrado y la promesa de eliminar los datos exfiltrados.

MITRE ATT&CK Cartografía

TTPs utilizados por Akira

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1133

External Remote Services

T1078

Valid Accounts

TA0002: Execution

No items found.

TA0003: Persistence

T1136

Create Account

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1482

Domain Trust Discovery

T1082

System Information Discovery

T1069

Permission Groups Discovery

T1057

Process Discovery

T1016

System Network Configuration Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

T1560

Archive Collected Data

TA0011: Command and Control

T1219

Remote Access Software

T1090

Proxy

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1537

Transfer Data to Cloud Account

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1490

Inhibit System Recovery

T1657

Financial Theft

T1486

Data Encrypted for Impact

Detección de plataformas

Cómo detectar Akira con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.

Azure AD Privilege Operation Anomaly

External Remote Access

Privilege Anomaly: Unusual Host

RDP Recon

Ransomware File Activity

Suspicious Port Scan

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es el ransomware Akira?

El ransomware Akira es un sofisticado malware utilizado por los ciberdelincuentes para cifrar archivos y extorsionar a las víctimas para que paguen un rescate.

¿Cómo accede Akira a las redes?

Akira obtiene acceso inicial a través de correos electrónicos de phishing , explotando vulnerabilidades y utilizando credenciales comprometidas.

¿A qué sectores se dirige Akira?

Akira se dirige a una amplia gama de sectores, como la sanidad, los servicios financieros, la educación y la industria manufacturera.

¿Qué técnicas utiliza Akira para eludir la detección?

Akira utiliza técnicas como la desactivación del software de seguridad, la ofuscación y la eliminación de registros para eludir la detección.

¿Cómo escala Akira privilegios dentro de una red?

Akira aprovecha vulnerabilidades conocidas y utiliza herramientas administrativas legítimas para obtener acceso de alto nivel.

¿Qué tipo de datos exfiltra Akira?

Akira extrae información confidencial, propiedad intelectual y datos personales antes de cifrar los archivos.

¿Cómo encripta Akira los archivos?

Akira utiliza algoritmos de cifrado robustos para garantizar que los archivos no puedan recuperarse sin la clave de descifrado.

¿Cuál es el impacto de un ataque del ransomware Akira?

El impacto incluye el cifrado de datos, la interrupción del servicio y las pérdidas financieras debidas al pago de rescates y a los esfuerzos de recuperación.

¿Se puede detectar y detener el ransomware Akira?

La detección y la prevención requieren medidas de seguridad sólidas, como soluciones de detección y respuesta ampliadas (XDR), actualizaciones periódicas del software y formación de los empleados.

¿Qué deben hacer las organizaciones si están infectadas por el ransomware Akira?

Las organizaciones deben desconectar los sistemas afectados, informar del incidente a las autoridades y buscar ayuda profesional en ciberseguridad para mitigar los daños y recuperar los datos.

¿Está su organización a salvo de los ataques del ransomware Akira?

Evalúe su exposición a los ataques