Description

Investigación Profunda de Grupos de Ransomware

Investigación 3 - Ransomware Akira

1. Identificación y Origen

Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.

2. Perfil y Evolución

Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.

3. Metodología de Ataque

• Acceso inicial: Explota vulnerabilidades en Cisco y Fortinet, phishing y credenciales robadas.
• Persistencia: Crea cuentas y usa herramientas como Mimikatz para volcar credenciales.
• Evasión: Desactiva antivirus/EDR y usa la red Tor para la exfiltración de datos.
• Cifrado: Utiliza ChaCha20 y RSA, además de eliminar copias de seguridad (VSS).

4. Modelo Financiero

Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.

5. Victimología

Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.

6. Recomendaciones

• Respaldos segmentados y seguros.
• Autenticación multifactor y actualizaciones constantes.
• Segmentación de red y monitoreo de tráfico.
• Auditoría de cuentas administrativas y restricción de accesos.

7. Incidente Destacado

El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.

Fuente: 

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a 

https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web 

https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/ 

https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira 

https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf 

https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry 

https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.html

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.