¿Qué es el ransomware Akira?

El galardonado ThreatDown MDR detiene las amenazas que otros pasan por alto

Explorar MDR

Introducción

El ransomwarese ha convertido en una de las amenazas más importantes para la ciberseguridad, y grupos como Akira son un ejemplo de la creciente sofisticación de estos ataques. Aparecido en marzo de 2023, Akira rápidamente se hizo famoso por atacar a una amplia gama de industrias en todo el mundo. En enero de 2024, el grupo había afectado a más de 250 organizaciones, según se informa, y había obtenido aproximadamente 42 millones de dólares en pagos de rescate.

Alcance de las operaciones de Akira

Akira ataca a organizaciones de diversos sectores, como el educativo, el financiero y el inmobiliario, así como a infraestructuras críticas. Entre sus víctimas se encuentran entidades notables como la Universidad de Stanford y Nissan Oceanía. El grupo emplea una táctica de doble extorsión, cifrando archivos y amenazando con divulgar los datos robados a menos que se paguen rescates. Este enfoque aumenta la presión sobre las víctimas para que cumplan las exigencias, especialmente en sectores que manejan información sensible, como la sanidad y la educación.

Técnicas y ciclo de vida de los ataques Akira

Acceso inicial

  • Akira obtiene acceso principalmente aprovechando vulnerabilidades en redes privadas virtuales (VPN) o servicios externos, como el Protocolo de Escritorio Remoto (RDP). El grupo también utiliza correos electrónicos de spear phishing y aprovecha vulnerabilidades conocidas de software, como las de los productos Cisco. Estas técnicas permiten a los atacantes eludir las defensas perimetrales y afianzarse en las redes objetivo.

Persistencia y escalada de privilegios

  • Una vez dentro, el ransomware se mantiene creando nuevas cuentas de dominio. Advanced como el volcado de credenciales y el kerberoasting permiten al grupo aumentar sus privilegios dentro de una red. Esta etapa suele implicar la desactivación del software de seguridad para evitar ser detectado.

Exfiltración y cifrado de datos

  • Akira utiliza herramientas como FileZilla y WinSCP para extraer datos confidenciales, que posteriormente se utilizan con fines extorsivos. El ransomware emplea un modelo de cifrado híbrido, que combina los algoritmos ChaCha20 y RSA, para garantizar que los datos se cifren de forma segura y sean difíciles de descifrar sin realizar el pago.

Doble extorsión

  • Tras cifrar los archivos, los operadores de Akira exigen rescates que oscilan entre los 200 000 y varios millones de dólares, amenazando con publicar los datos robados en su sitio web oscuro. Esta táctica aumenta el riesgo para las víctimas, especialmente para aquellas que manejan datos personales o confidenciales.

Características destacadas del ransomware Akira

Linux y VMware ESXi como objetivos:

  • Akira amplió su arsenal en junio de 2023 mediante el despliegue de cifradores basados en Linux para atacar los sistemas VMware ESXi. Estos sistemas se utilizan ampliamente en entornos empresariales, lo que aumenta el daño potencial de los ataques.

Rápida evolución:

  • Akira ha demostrado su capacidad para adaptar sus técnicas con el fin de explotar nuevas vulnerabilidades, lo que lo convierte en un actor malicioso dinámico y resistente.

Cifrado sofisticado:

  • El uso de ChaCha20 por parte del ransomware para aumentar la velocidad y de RSA para garantizar la seguridad del intercambio de claves demuestra un enfoque centrado tanto en la eficiencia como en la complejidad.

Estrategias de mitigación del ransomware Akira

Para combatir a Akira y otros grupos de ransomware similares se requiere un enfoquede ciberseguridaden múltiples capas:

Medidas preventivas:

  • Actualiceperiódicamenteel softwarey el firmware para corregir las vulnerabilidades conocidas.
  • Utilice contraseñas fuertes y únicas con autenticación multifactor (MFA) para todas las cuentas, especialmente las VPN y los servicios de acceso remoto.

Detección y respuesta:

Protección de datos:

  • Mantenga copias de seguridad periódicas y cifradas de los datos críticos, almacenadas en ubicaciones offline o de alta seguridad.
  • Pruebe los procesos de restauración de copias de seguridad para garantizar que la recuperación de datos es eficaz.

Planes de respuesta a incidentes:

  • Elabore y actualice periódicamente un plan de respuesta al ransomware.
  • Forme a los empleados para que sepan reconocer los intentos de phishing y otras tácticas de ingeniería social.

Conclusión

El ransomware Akira subraya la naturaleza cambiante de la ciberdelincuencia y la necesidad de medidas de defensa proactivas. Mediante la comprensión de sus tácticas y la aplicación de estrategias de seguridad integrales, las organizaciones pueden reducir su vulnerabilidad ante este tipo de amenazas. La acción colectiva, que implica a gobiernos, industrias y expertos en ciberseguridad, es esencial para mitigar el impacto del ransomware y salvaguardar el ecosistema digital.

Recursos destacados

Preguntas frecuentes (FAQ) sobre el ransomware Akira

¿A qué sectores se dirige principalmente el ransomware Akira?

El ransomware Akira se dirige a una amplia gama de sectores, como la educación, las finanzas, el sector inmobiliario, la sanidad y las infraestructuras críticas. Entre las víctimas más destacadas se encuentran la Universidad de Stanford y Nissan Oceanía, lo que demuestra su alcance en diversos sectores. El grupo se centra en la doble extorsión, lo que le hace especialmente eficaz contra las organizaciones que manejan datos confidenciales o privados.

¿Cómo consigue Akira el acceso inicial a los sistemas de sus víctimas?

Akira suele aprovechar vulnerabilidades en VPN, servicios externos como el protocolo de escritorio remoto (RDP) y otras vulnerabilidades de software (por ejemplo, Cisco). También emplea ataques de spear-phishing para engañar a los usuarios para que proporcionen acceso o credenciales, lo que permite a los operadores del ransomware infiltrarse en las redes.

¿Qué medidas pueden tomar las organizaciones para defenderse del ransomware Akira?

Las organizaciones deben implementar medidas sólidasde ciberseguridad, tales como:

  • Aplicaciónperiódicade parches de softwarey firmware para solucionar vulnerabilidades.
  • Uso de la autenticación multifactorial (MFA) para todas las cuentas.
  • Segmentación de redes para limitar la propagación del ransomware.
  • Mantener copias de seguridad encriptadas y sin conexión de los datos críticos.
  • Además, la supervisión proactiva con herramientas de detección de puntos finales y la formación de los empleados sobre la prevención del phishing son componentes fundamentales de una defensa sólida.

Además, la supervisión proactiva conherramientas de detección de puntos finalesy la formación de los empleados en materia de prevención del phishing son componentes fundamentales de una defensa sólida.