Ransomware Akira: una amenaza en el ámbito RaaS

Akira es un grupo de ransomware como servicio (RaaS) que surgió en marzo de 2023. Desde entonces, el grupo ha participado en un gran volumen de campañas, especialmente en el último año. En abril de 2024, se estimó que Akira obtuvo una suma de más de 42 millones de dólares en pagos de rescate. Solo en 2024, se han reportado más de 300 ataques. Los gráficos a continuación muestran el número total de víctimas de Akira por año, el número de víctimas de Akira por mes en 2024 y los principales países afectados por Akira hasta la fecha.

Victimología y afiliación

Las víctimas de Akira pertenecen a una amplia gama de organizaciones, entre ellas empresas manufactureras, firmas de ingeniería y agrícolas, proveedores de servicios financieros e instituciones de educación superior. Muchas de las víctimas de Akira incluyen organizaciones con sede en países occidentales, como Estados Unidos, que constituye el grupo demográfico de víctimas más grande, seguido de Canadá, el Reino Unido y organizaciones con sede en Alemania.

El nombre Akira puede evocar buenos recuerdos para algunos de una película de anime de ciencia ficción llena de acción del mismo nombre que se estrenó en 1988. Sin embargo, no se han identificado referencias operativas o culturales de otro tipo que vinculen los motivos y movimientos del actor del ransomware con los de un sindicato de ciberdelincuencia japonés o del este de Asia. En cambio, Akira es un actor de amenazas que probablemente esté asociado con Rusia. Este desarrollo se produjo una vez que los analistas de seguridad descubrieron que el código malicioso de Akira estaba diseñado de manera que impidiera que se ejecutara en sistemas equipados con un teclado en idioma ruso . Se encontró correspondencia con miembros de Akira en foros rusos en 2022. Si bien ha habido una reducción en el uso de foros clandestinos a favor de otras opciones semianónimas como Tox y Telegram, muchos grupos de ransomware mantienen cuentas en foros de piratas informáticos y mercados criminales en un esfuerzo por llegar a afiliados potenciales y generar más interés.

Abordar múltiples sistemas operativos y desarrollar diferentes cargas útiles

Akira tiene un amplio historial de alteración de los tipos de cargas útiles que utiliza en sus operaciones. En marzo de 2023, cuando se descubrieron los primeros incidentes de Akira, Akira lanzó ataques de ransomware dirigidos a sistemas Windows. El cifrador asociado con estos ataques se creó en C++ y agregó .akira a los archivos afectados . Poco después de abril de 2023, el grupo cambió de rumbo para lanzar ataques con una carga útil de Linux diseñada para cifrar servidores VMware ESXi.

En agosto de 2023, Akira implementó Megazord para atacar sistemas Windows . Esta variante se diferenciaba de la versión anterior que apuntaba a sistemas Windows, ya que se compiló en Rust y agregó la extensión .powerranges a los archivos cifrados en lugar de .akira. Casi al mismo tiempo, Akira desarrolló una carga útil para atacar servidores VMware ESXi y sistemas Linux utilizando una iteración del ransomware conocido como Akira v2 .

En abril de 2024, Akira volvió a su forma original, utilizando una carga útil de ransomware escrita en C++ para cifrar los datos de las víctimas y agregar la extensión .akira a los archivos afectados.

Akira v2

A diferencia de sus iteraciones anteriores de principios de 2023, Akira v2 está escrito en Rust y está diseñado para localizar archivos que se cifrarán en función de parámetros específicos. El ransomware Akira v2 también añade .akiranew a los archivos afectados . Dado que el cifrado de archivos se puede adaptar mejor a un tipo de archivo específico, los datos que se pueden cifrar se extienden más allá de los tipos de archivos informados en iteraciones anteriores que han sido el objetivo del ransomware Akira, por ejemplo, ade, .ckp, .ddpl, .edb .sq y .vdh; estos son tipos de archivos asociados con archivos de proyectos de bases de datos, medios ópticos, la base de datos de buzones de correo de Exchange y discos duros virtuales.

El cifrado de archivos, en concreto los que terminan en .edb y .vdh, puede tener consecuencias mayores, ya que .edb es un tipo de archivo que almacena datos relacionados con el entorno de servidor Exchange de Microsoft. Y .vdh es un archivo de disco duro virtual que interactúa con el software de virtualización. A pesar de que una variedad de tipos de archivos de documentos y bases de datos comunes que son pertinentes para administrar máquinas virtuales en hosts de Windows o Linux, incluidos .vdi, .vmdk, vmem, .vmsn, vmsd, .vmx, .vhdx, .vsv, .avhd, .vmrs, .vhdx, .avdx y .vmcx se pueden cifrar al descubrirlos, la capacidad de personalización para encontrar otros archivos hace que el ransomware sea letal.

El presente: ¿Es ésta una era posterior a la versión 2?

Akira v2 volvería a resurgir después de la primavera de 2024. Sin embargo, en octubre de 2024, los informes documentaron más cambios en las tácticas de Akira con una cepa que se uniría a la v2 basada en Rust de Akira entre la cantidad de incidentes de Akira en aumento. El actor de amenazas implementó varios cambios en la cepa de ransomware, incluido un regreso al código escrito en C++ y el uso de ChaCha8 .

Si bien es posible que se produzcan menos casos de la iteración v2 y Megazord desde los informes iniciales de sus detecciones, esas versiones aún se identifican en la red. También es importante señalar que otros grupos de ransomware, como Cicada3301 y Qiilin, han utilizado cargas útiles de ransomware escritas en Rust para que las acciones de desensamblado y detección de malware sean mucho más difíciles.

Sitio de fuga de datos de Akira y nota sobre ransomware

El sitio de fugas de datos de Akira cuenta con una interfaz de línea de comandos. Un usuario puede ingresar comandos en el sitio de fugas de datos, como «leaks» para generar una lista de la información filtrada y «news» para obtener información sobre las próximas fugas o las víctimas.

En el área de Fugas del sitio de fugas de datos se incluyen las URL , lo que permite a los usuarios acceder al contenido robado. Los usuarios que quieran descargar las fugas pueden hacerlo a través de un cliente de torrent. También se proporcionan archivos de almacenamiento que contienen las fugas; algunas fugas están protegidas con contraseña. Sin embargo, las contraseñas se suministran con información sobre cada torrent.

Figura 1: Página de entrada del sitio de filtración de datos de Akira

Figura 2: Página de inicio del canal de correspondencia de chat para víctimas

En notas de ransomware anteriores, Akira ha ordenado a las víctimas que se comuniquen con ellos para obtener más información, vinculando una página web y proporcionando una ID de chat única.

El uso de dicho ID de chat parece haber caído en desuso, posiblemente debido a la funcionalidad actual del sitio web principal de Akira, que incluye un argumento de contacto en su interfaz de línea de comandos que acepta nombres y contenido de mensajes que se envían al soporte.

Akira anima a las víctimas a ponerse en contacto con ellos para obtener más detalles sobre cómo recuperarse de un incidente, proporcionando un nombre y un correo electrónico a través de la interfaz de línea de comandos del sitio de fugas de datos. El actor de amenazas menciona que se puede poner a disposición de las organizaciones afectadas un descifrador de prueba de muestra que se ponga en contacto con ellos directamente.

El contenido de la nota de ransomware de Akira indica una voluntad de comprender los ingresos de una organización y negociar si es necesario, lo que se ilustra en el siguiente extracto:

Además, hemos tomado una gran cantidad de sus datos corporativos antes del cifrado, por ahora guardémonos todas las lágrimas y el resentimiento para nosotros y tratemos de construir un diálogo constructivo… Al tratar con nosotros, ahorrará MUCHO debido a que no estamos interesados ​​en arruinarle financieramente.

Estudiaremos en profundidad sus finanzas, estados de cuenta bancarios y de ingresos, sus ahorros, inversiones, etc. y le ofreceremos un monto razonable. Si tiene un seguro cibernético vigente, infórmenos y le orientaremos sobre cómo usarlo correctamente. Además, alargar el proceso de negociación puede hacer que el acuerdo fracase.

Táctica

La siguiente sección proporciona más información sobre las tácticas utilizadas por Akira y las asignaciones de esos patrones al marco MITRE ATT&CK.

Acceso inicial

Akira, conocido por explotar vulnerabilidades comunes, incluidas aquellas que afectan a herramientas de acceso remoto y aplicaciones externas, ha establecido un acceso inicial apuntando a fallas en productos de firewall y VPN y servicios en la nube.

Este año, las vulnerabilidades destacadas que Akira aprovechó en sus ataques fueron CVE-2024-37085 y CVE-2024-40711 , que afectan a los servidores ESXi y al servicio de backup de Veeam respectivamente. El actor de amenazas ha utilizado herramientas como Veeam-Get-Creds y Veeam Hax para obtener y gestionar la filtración de credenciales a los servidores de Veeam.

Los entornos compuestos por productos SonicWall equipados con SonicOS también se vieron afectados por el ransomware Akira este año; CVE-2024-40766 es la vulnerabilidad que se explotó en esos ataques.

Akira también ha establecido acceso inicial aprovechando credenciales comprometidas u obteniéndolas a través de otros medios, por ejemplo, un agente de acceso inicial.

Descubrimiento

Akira realiza actividades esenciales de descubrimiento y reconocimiento de host mediante la implementación de herramientas como escáneres de IP y Adfind para iniciar consultas que obtienen datos sobre el ecosistema de Active Directory.

Akira también es capaz de descubrir procesos en ejecución, herramientas de seguridad y el lenguaje del sistema de destino. Estas tareas se realizan normalmente aprovechando las interacciones con las API de Microsoft.

Ejecución

Se coloca un archivo ransomware en la máquina víctima; los ejecutables maliciosos como w.exe y win.exe se asociaron con capacidades de cifrado en las campañas de Akira, además de los archivos .ELF que se usaron para atacar sistemas Linux.

Persistencia

Akira establece la persistencia mediante la creación de claves de registro y la modificación de la configuración del host. En los ataques que primero explotan las credenciales filtradas y las debilidades que afectan al controlador de dominio, el actor de amenazas configura cuentas de dominio para mantener una presencia más sólida.

Movimiento lateral

La creación de cuentas por parte de Akira, como una cuenta de respaldo asociada con Veeam, y su uso de herramientas para extraer credenciales los ayudan a realizar acciones de movimiento lateral.

Evasión de defensa

El ransomware Akira es capaz de detectar y evadir a los depuradores; también se caracteriza por elementos de codificación, incluida la codificación Base64 y la ofuscación para ocultar archivos y procesos. En una iteración reciente de Akira, se introdujo un componente que restringe su ejecución en un entorno de análisis; ese componente es el uso de un ID de compilación único .

Inhibición de la recuperación del sistema

Akira es capaz de eliminar instantáneas de volumen; esta es una acción que se puede realizar mediante un script de PowerShell. El script hace referencia a un comando que elimina las instantáneas de volumen después de localizarlas mediante una interacción con WMI. Las organizaciones que utilizan copias de seguridad que no se evalúan a nivel de archivo y dependen de instantáneas de volumen se enfrentarán a una pérdida perjudicial si son víctimas de un ataque de ransomware Akira.

La variante del ransomware Linux ESXI también permite al atacante invocar un comando vmonly para limitar el alcance de su ataque a las máquinas virtuales y un comando stopvm para terminar las máquinas virtuales activas .

Impacto

El cifrado y la exfiltración son las acciones resultantes de los ataques de ransomware de Akira. El actor de la amenaza utiliza herramientas como WinSCP y Rclone para exfiltrar datos.

¿Qué está por venir?

A medida que el ransomware Akira continúa atacando a organizaciones de todo el mundo, es importante que las organizaciones monitoreen sus ecosistemas en busca de patrones de vulneración y se mantengan informadas sobre las diferentes cepas activas del ransomware Akira. Esto incluye no solo la versión 2 y Megazord, sino también el código de ransomware más reciente. Akira experimentó un gran crecimiento en sus incidentes por mes poco después de la primera mitad de 2024. Esperamos que este patrón de crecimiento continúe en 2025.

Recomendaciones

Implementar medidas de respaldo y recuperación : programar respaldos periódicos, asegurarse de que se prueben y mantenerlos en un sistema separado de la red principal. Se recomienda que los respaldos se almacenen en una ubicación fuera de línea o en un entorno de nube.

Establecer controles de protección de red : aplicar defensa contra ataques de red y segmentación de red: segmentar redes para limitar los resultados de movimiento lateral si un punto final se ve comprometido y garantizar que los sistemas críticos no interactúen con recursos que pueden tener una amplia superficie de ataque.

Realizar la gestión de parches : evaluar periódicamente los parches y las actualizaciones a implementar, priorizándolos en función de su impacto en los activos de la organización.

Implementar soluciones de seguridad de correo electrónico : utilice soluciones de filtrado de correo electrónico para bloquear correos electrónicos, archivos adjuntos y enlaces maliciosos. Agregue mayor protección habilitando el sandbox de archivos adjuntos; esto permite que se ejecute un análisis en tiempo real, identificando de forma proactiva el ransomware contenido en los archivos adjuntos antes de que el archivo adjunto se entregue a un usuario.

Ejecute un plan de respuesta a incidentes : la respuesta rápida es una parte vital de la protección y mitigación del ransomware . Un enfoque oportuno y proactivo es importante al realizar acciones de respuesta a incidentes. Asegúrese de que el equipo de seguridad tenga el personal, los procesos y las tecnologías necesarios para investigar y responder exhaustivamente a un incidente, por ejemplo, bloqueando direcciones IP, deteniendo procesos o aislando hosts para cortar el acceso de un atacante a datos y recursos críticos y evitar una mayor explotación.

Implemente soluciones de detección y respuesta en endpoints (EDR) : utilice tecnologías EDR o MDR que aprovechen la supervisión activa mediante detecciones basadas en el comportamiento y la heurística para garantizar que los vectores de infección iniciales se detecten con precisión y se escalen para su investigación. Habilite la detección de amenazas en tiempo real y las respuestas automatizadas para permitir que se ejecuten contramedidas, como acciones de bloqueo y aislamiento, contra los dispositivos afectados en un incidente de ransomware.

Aproveche la inteligencia de amenazas operativas : la solución de inteligencia de amenazas adecuada puede proporcionar información crítica sobre los ataques. Bitdefender IntelliZone es una solución fácil de usar que consolida todo el conocimiento que hemos recopilado sobre las amenazas cibernéticas y los actores de amenazas asociados en un único panel para los analistas de seguridad, incluido el acceso al servicio de análisis de malware de última generación de Bitdefender.

Si ya tiene una cuenta IntelliZone, puede encontrar información estructurada adicional en Identificadores de amenazas que incluyen: BD1v4nw4su , BDcrena0eu, BDc7c2411y , BD80wyffwi , BD0sod05yv , BDx5nkwaqw y BDqy7jftkp .

Acceso remoto seguro : aplique la autenticación multifactor (MFA) para todos los puntos de acceso remoto, incluidos los VPN y RDP. Utilice una VPN o una puerta de enlace de acceso seguro para usuarios remotos en lugar de exponer el RDP directamente a Internet.

Indicadores de compromiso

Akira (archivo ejecutable de Windows)

Megazord

Akira: (Archivo ejecutable de Linux)