Akira
Akira Ransomware Group es conocido por su "estética retro" y por explotar principalmente vulnerabilidades en servicios VPN y vulnerabilidades conocidas de Cisco.
El origen del ransomware Akira
El grupo de ransomware Akira, observado por primera vez en marzo de 2023, es conocido por sus sofisticados ataques de ransomware dirigidos a diversas industrias de todo el mundo. Se especula sobre sus vínculos con el antiguo grupo de ransomware CONTI, ya que varios afiliados de CONTI migraron a campañas independientes como Royal, BlackBasta y, potencialmente, Akira después de que CONTI cesara sus operaciones. Este grupo opera bajo un modelo de ransomware como servicio (RaaS), que permite a los afiliados utilizar el ransomware a cambio de una parte de los pagos de rescate.
Los informes sugieren que los afiliados de Akira también trabajan con otras operaciones de ransomware como Snatch y BlackByte, como demuestra un directorio abierto de herramientas utilizadas por un operador de Akira que tenía conexiones con el ransomware Snatch. La primera versión del ransomware Akira estaba escrita en C++ y anexaba archivos con la extensión '.akira', creando una nota de rescate llamada 'akira_readme.txt', que se basaba parcialmente en el código fuente del Conti V2. El 29 de junio de 2023, Avast publicó un descifrador para esta versión debido a un fallo en su mecanismo de cifrado.
Posteriormente, el 2 de julio de 2023, se publicó una nueva versión que corregía el fallo de descifrado. Se dice que esta versión está escrita en Rust, se llama 'megazord.exe' y cambia la extensión de los archivos cifrados a '.powerranges'. La mayoría de los vectores de acceso iniciales de Akira implican intentos de fuerza bruta en dispositivos VPN de Cisco que utilizan autenticación de factor único, lo que los hace vulnerables a accesos no autorizados. Además, el grupo ha sido identificado explotando vulnerabilidades conocidas -específicamente CVE-2019-6693 y CVE-2022-40684- paraobtener acceso inicial a los sistemas objetivo.
El origen de Akira sigue sin estar claro, pero sus actividades sugieren un alto nivel de conocimientos técnicos y organización.
Cartografía: OCD
Objetivos
Objetivos del ransomware Akira
Países objetivo de Akira
Akira ha demostrado un alcance global, con ataques confirmados en Norteamérica, Europa y Asia. Su patrón de ataque indiscriminado sugiere un enfoque en la explotación de sistemas vulnerables independientemente de su ubicación geográfica.
Fuente de la imagen: Ransomware.live
Industrias objetivo de Akira
El ransomware Akira se ha dirigido a un amplio abanico de industrias, como la sanidad, los servicios financieros, la educación y la fabricación. Sus ataques han interrumpido servicios y operaciones críticas, causando importantes daños financieros y de reputación a las organizaciones afectadas.
Fuente de la captura de pantalla: Cyble
Industrias objetivo de Akira
El ransomware Akira se ha dirigido a un amplio abanico de industrias, como la sanidad, los servicios financieros, la educación y la fabricación. Sus ataques han interrumpido servicios y operaciones críticas, causando importantes daños financieros y de reputación a las organizaciones afectadas.
Fuente de la captura de pantalla: Cyble
Las víctimas de Akira
Akira ha atacado a más de 341 víctimas. Entre las víctimas más destacadas se encuentran importantes instituciones sanitarias, destacadas universidades y destacadas empresas financieras. Estos ataques suelen provocar la filtración de datos confidenciales, que luego se utilizan para presionar a las víctimas para que paguen el rescate.
Fuente: ransomware.live
Método de ataque
Método de ataque de Akira
Akira suele obtener acceso inicial a través de correos electrónicos de phishing , explotando vulnerabilidades en aplicaciones públicas o aprovechando credenciales comprometidas. A menudo utilizan spear-phishing para atacar a personas concretas dentro de las organizaciones.
Una vez dentro de la red, Akira utiliza varias técnicas para escalar privilegios, como explotar vulnerabilidades conocidas y utilizar herramientas administrativas legítimas para obtener acceso de nivel superior.
Para evitar ser detectado, Akira emplea sofisticadas técnicas de evasión, como desactivar el software de seguridad, utilizar ofuscación y borrar registros para cubrir sus huellas.
Akira recopila credenciales mediante keylogging, volcado de credenciales y el uso de herramientas como Mimikatz para recopilar contraseñas de los sistemas infectados.
El grupo lleva a cabo un reconocimiento exhaustivo para trazar el mapa de la red, identificar los activos críticos y comprender la estructura de la organización. Para ello utilizan herramientas como PowerShell y scripts personalizados.
Akira se mueve lateralmente a través de la red utilizando credenciales comprometidas, explotando las relaciones de confianza y utilizando herramientas como RDP y SMB para propagarse.
La recopilación de datos consiste en reunir información sensible, propiedad intelectual y datos personales, que luego se filtran con fines de extorsión.
La carga útil del ransomware se ejecuta, cifrando los archivos de los sistemas de la víctima. Akira utiliza algoritmos de cifrado robustos para garantizar que los archivos no puedan recuperarse sin la clave de descifrado.
Antes del cifrado, Akira exfiltra datos confidenciales a servidores externos bajo su control, aprovechando canales de comunicación cifrados para evitar ser detectados.
La fase de impacto implica la finalización del cifrado y la entrega de la nota de rescate, que exige el pago a cambio de la clave de descifrado y la promesa de eliminar los datos exfiltrados.
Acceso inicial
Akira suele obtener acceso inicial a través de correos electrónicos de phishing , explotando vulnerabilidades en aplicaciones públicas o aprovechando credenciales comprometidas. A menudo utilizan spear-phishing para atacar a personas concretas dentro de las organizaciones.
Escalada de privilegios
Una vez dentro de la red, Akira utiliza varias técnicas para escalar privilegios, como explotar vulnerabilidades conocidas y utilizar herramientas administrativas legítimas para obtener acceso de nivel superior.
Defensa Evasión
Para evitar ser detectado, Akira emplea sofisticadas técnicas de evasión, como desactivar el software de seguridad, utilizar ofuscación y borrar registros para cubrir sus huellas.
Acceso con credenciales
Akira recopila credenciales mediante keylogging, volcado de credenciales y el uso de herramientas como Mimikatz para recopilar contraseñas de los sistemas infectados.
Descubrimiento
El grupo lleva a cabo un reconocimiento exhaustivo para trazar el mapa de la red, identificar los activos críticos y comprender la estructura de la organización. Para ello utilizan herramientas como PowerShell y scripts personalizados.
Movimiento lateral
Akira se mueve lateralmente a través de la red utilizando credenciales comprometidas, explotando las relaciones de confianza y utilizando herramientas como RDP y SMB para propagarse.
Colección
La recopilación de datos consiste en reunir información sensible, propiedad intelectual y datos personales, que luego se filtran con fines de extorsión.
Ejecución
La carga útil del ransomware se ejecuta, cifrando los archivos de los sistemas de la víctima. Akira utiliza algoritmos de cifrado robustos para garantizar que los archivos no puedan recuperarse sin la clave de descifrado.
Exfiltración
Antes del cifrado, Akira exfiltra datos confidenciales a servidores externos bajo su control, aprovechando canales de comunicación cifrados para evitar ser detectados.
Impacto
La fase de impacto implica la finalización del cifrado y la entrega de la nota de rescate, que exige el pago a cambio de la clave de descifrado y la promesa de eliminar los datos exfiltrados.
MITRE ATT&CK Cartografía
TTPs utilizados por Akira
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1136
Create Account
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1482
Domain Trust Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1016
System Network Configuration Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
T1219
Remote Access Software
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar Akira con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware Akira?
El ransomware Akira es un sofisticado malware utilizado por los ciberdelincuentes para cifrar archivos y extorsionar a las víctimas para que paguen un rescate.
¿Cómo accede Akira a las redes?
Akira obtiene acceso inicial a través de correos electrónicos de phishing , explotando vulnerabilidades y utilizando credenciales comprometidas.
¿A qué sectores se dirige Akira?
Akira se dirige a una amplia gama de sectores, como la sanidad, los servicios financieros, la educación y la industria manufacturera.
¿Qué técnicas utiliza Akira para eludir la detección?
Akira utiliza técnicas como la desactivación del software de seguridad, la ofuscación y la eliminación de registros para eludir la detección.
¿Cómo escala Akira privilegios dentro de una red?
Akira aprovecha vulnerabilidades conocidas y utiliza herramientas administrativas legítimas para obtener acceso de alto nivel.
¿Qué tipo de datos exfiltra Akira?
Akira extrae información confidencial, propiedad intelectual y datos personales antes de cifrar los archivos.
¿Cómo encripta Akira los archivos?
Akira utiliza algoritmos de cifrado robustos para garantizar que los archivos no puedan recuperarse sin la clave de descifrado.
¿Cuál es el impacto de un ataque del ransomware Akira?
El impacto incluye el cifrado de datos, la interrupción del servicio y las pérdidas financieras debidas al pago de rescates y a los esfuerzos de recuperación.
¿Se puede detectar y detener el ransomware Akira?
La detección y la prevención requieren medidas de seguridad sólidas, como soluciones de detección y respuesta ampliadas (XDR), actualizaciones periódicas del software y formación de los empleados.
¿Qué deben hacer las organizaciones si están infectadas por el ransomware Akira?
Las organizaciones deben desconectar los sistemas afectados, informar del incidente a las autoridades y buscar ayuda profesional en ciberseguridad para mitigar los daños y recuperar los datos.