¿Qué es el ransomware Akira?

Akira es una banda de ransomware surgida en 2023. Utiliza una doble técnica de extorsión, robando y cifrando datos. El grupo se dirige a varios sectores, como la sanidad, la administración pública y la industria manufacturera.

Hable con un experto

Introducción al ransomware Akira

El ransomware se ha convertido en una de las amenazas más importantes para la ciberseguridad, y grupos como Akira ejemplifican la creciente sofisticación de estos ataques. Akira, que surgió en marzo de 2023, no tardó en hacerse famoso por atacar a una amplia gama de industrias de todo el mundo. Según los informes, en enero de 2024, el grupo había afectado a más de 250 organizaciones, obteniendo aproximadamente 42 millones de dólares en pagos de rescates.

Alcance de las operaciones de Akira

Akira ataca a organizaciones de diversos sectores, como el educativo, el financiero y el inmobiliario, así como a infraestructuras críticas. Entre sus víctimas se encuentran entidades notables como la Universidad de Stanford y Nissan Oceanía. El grupo emplea una táctica de doble extorsión, cifrando archivos y amenazando con divulgar los datos robados a menos que se paguen rescates. Este enfoque aumenta la presión sobre las víctimas para que cumplan las exigencias, especialmente en sectores que manejan información sensible, como la sanidad y la educación.

Técnicas y ciclo de vida de los ataques Akira

  1. Acceso inicial
    Akira obtiene acceso principalmente aprovechando vulnerabilidades en redes privadas virtuales (VPN) o servicios externos como el protocolo de escritorio remoto (RDP). El grupo también utiliza correos electrónicos de phishing selectivo y aprovecha vulnerabilidades de software conocidas, como las de los productos de Cisco. Estas técnicas permiten a los atacantes eludir las defensas perimetrales e introducirse en las redes objetivo.
  2. Persistencia yescalada de privilegios
    Una vez dentro, el ransomware establece la persistencia mediante la creación de nuevas cuentas de dominio.     Advanced métodos como el volcado de credenciales y Kerberoasting permiten al grupo escalar privilegios dentro de una red. Esta etapa suele implicar la desactivación del software de seguridad para evitar su detección.
  3. Exfiltración de datos y cifrado
    Akira emplea herramientas como FileZilla y WinSCP para exfiltrar datos confidenciales, que luego se utilizan para extorsionar. El ransomware utiliza un modelo de cifrado híbrido, que combina algoritmos ChaCha20 y RSA, para garantizar que los datos se cifran de forma segura y que es difícil descifrarlos sin pagar.
  4. Doble extorsión
    Tras cifrar los archivos, los operadores de Akira exigen rescates que oscilan entre 200.000 y varios millones de dólares, amenazando con publicar los datos robados en su sitio web oscuro. Esta táctica amplifica el riesgo para las víctimas, especialmente para las que manejan datos sensibles personales o de propiedad.

Características destacadas del ransomware Akira

  • Linux and VMware ESXi Targeting:
    Akira amplió su arsenal en junio de 2023 desplegando cifradores basados en Linux para atacar sistemas VMware ESXi. Estos sistemas se utilizan ampliamente en entornos empresariales, lo que aumenta el daño potencial de los ataques.
  • Rápida evolución:
    Akira ha demostrado su capacidad de adaptar sus técnicas para explotar nuevas vulnerabilidades, lo que le convierte en un actor de amenazas dinámico y resistente.
  • Cifrado sofisticado:
    El uso por parte del ransomware de ChaCha20 para la velocidad y RSA para el intercambio seguro de claves demuestra un enfoque tanto en la eficiencia como en la complejidad.

Estrategias de mitigación del ransomware Akira

La lucha contra Akira y otros grupos similares de ransomware requiere un enfoque de ciberseguridad a varios niveles:

  • Medidas preventivas:
    • Parchee periódicamente el software y el firmware para solucionar las vulnerabilidades conocidas.
    • Utilice contraseñas fuertes y únicas con autenticación multifactor (MFA) para todas las cuentas, especialmente las VPN y los servicios de acceso remoto.
  • Detección y respuesta:
  • Protección de datos:
    • Mantenga copias de seguridad periódicas y cifradas de los datos críticos, almacenadas en ubicaciones offline o de alta seguridad.
    • Pruebe los procesos de restauración de copias de seguridad para garantizar que la recuperación de datos es eficaz.
  • Planes de respuesta a incidentes:
    • Elabore y actualice periódicamente un plan de respuesta al ransomware.
    • Forme a los empleados para que sepan reconocer los intentos de phishing y otras tácticas de ingeniería social.

Conclusión

El ransomware Akira subraya la naturaleza cambiante de la ciberdelincuencia y la necesidad de medidas de defensa proactivas. Mediante la comprensión de sus tácticas y la aplicación de estrategias de seguridad integrales, las organizaciones pueden reducir su vulnerabilidad ante este tipo de amenazas. La acción colectiva, que implica a gobiernos, industrias y expertos en ciberseguridad, es esencial para mitigar el impacto del ransomware y salvaguardar el ecosistema digital.

Recursos destacados

Preguntas frecuentes sobre el ransomware Akira:

¿A qué sectores se dirige principalmente el ransomware Akira?

El ransomware Akira se dirige a una amplia gama de sectores, como la educación, las finanzas, el sector inmobiliario, la sanidad y las infraestructuras críticas. Entre las víctimas más destacadas se encuentran la Universidad de Stanford y Nissan Oceanía, lo que demuestra su alcance en diversos sectores. El grupo se centra en la doble extorsión, lo que le hace especialmente eficaz contra las organizaciones que manejan datos confidenciales o privados.

¿Cómo consigue Akira el acceso inicial a los sistemas de sus víctimas?

Akira suele aprovechar vulnerabilidades en VPN, servicios externos como el protocolo de escritorio remoto (RDP) y otras vulnerabilidades de software (por ejemplo, Cisco). También emplea ataques de spear-phishing para engañar a los usuarios para que proporcionen acceso o credenciales, lo que permite a los operadores del ransomware infiltrarse en las redes.


¿Qué medidas pueden tomar las organizaciones para defenderse del ransomware Akira?

Las organizaciones deben aplicar medidas sólidas de ciberseguridad como:

  • Aplicación periódica de parches en el software y el firmware para solucionar las vulnerabilidades.
  • Utilizar la autenticación multifactor (MFA) para todas las cuentas.
  • Segmentación de redes para limitar la propagación del ransomware.
  • Mantener copias de seguridad encriptadas y sin conexión de los datos críticos.
  • Además, la supervisión proactiva con herramientas de detección de puntos finales y la formación de los empleados sobre la prevención del phishing son componentes fundamentales de una defensa sólida.

Además, la supervisión proactiva con herramientas de detección de puntos finales y la formación de los empleados sobre la prevención del phishing son componentes fundamentales de una defensa sólida.