Los ciberdelincuentes detrás del ransomware Akira ganaron más de 42 millones de dólares en un año
Los ciberdelincuentes responsables del Akira Ransomware han amasado la asombrosa suma de más de 42 millones de dólares en tan solo un año, según informes de CISA, el FBI, Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL). Sus nefastas actividades han victimizado a más de 250 entidades en todo el mundo, que abarcan una variedad de industrias que incluyen servicios, manufactura, educación, construcción, infraestructura crítica, finanzas, atención médica y sectores legales.
Inicialmente limitado a sistemas Windows, Akira Ransomware ha ampliado su alcance para infectar máquinas virtuales VMware ESXi desde abril de 2023. Además, su arsenal se ha visto reforzado con la integración de Megazord a partir de agosto de 2023, como destacan CISA, el FBI, Europol y NCSC-NL en un aviso reciente.
Los operadores de Akira Ransomware han demostrado un modus operandi sofisticado, explotando vulnerabilidades en servicios VPN que carecen de autenticación multifactor, aprovechando particularmente las debilidades conocidas en productos Cisco como CVE-2020-3259 y CVE-2023-20269. También han empleado tácticas como la infiltración del protocolo de escritorio remoto (RDP), campañas de phishing y la utilización de credenciales válidas para infiltrarse en los entornos de las víctimas.
Después de obtener el acceso inicial, estos actores de amenazas exhiben meticulosas estrategias de persistencia, creando nuevas cuentas de dominio, extrayendo credenciales y realizando un amplio reconocimiento de la red y del controlador de dominio. El aviso subraya una evolución notable en las tácticas de Akira, con el despliegue de dos variantes distintas de ransomware contra diferentes arquitecturas de sistemas dentro de un solo evento de infracción.
En un intento por evadir la detección y facilitar el movimiento lateral, los operadores de Akira desactivan sistemáticamente el software de seguridad. Su conjunto de herramientas incluye una variedad de aplicaciones de software para la filtración de datos y el establecimiento de comunicación de comando y control, incluidas FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok y RustDesk.
Al igual que otros sindicatos de ransomware , Akira adopta un modelo de extorsión dual, exfiltrando los datos de las víctimas antes del cifrado y exigiendo el pago en Bitcoin a través de canales de comunicación basados en Tor. Los atacantes aumentan aún más la presión al amenazar con revelar públicamente los datos exfiltrados en la red Tor y, en algunos casos, contactar directamente a las organizaciones victimizadas.
En respuesta a este creciente panorama de amenazas, el aviso proporciona a los defensores de la red indicadores de compromiso (IoC) asociados con Akira, junto con estrategias de mitigación recomendadas para fortalecer sus defensas contra tales ataques.