FBI: El grupo de ransomware Akira ganó 42 millones de dólares de más de 250 organizaciones

El grupo de ransomware Akira ha violado las redes de más de 250 organizaciones y ha reclamado aproximadamente 42 millones de dólares (USD) en ingresos por ransomware, según un reciente aviso conjunto de ciberseguridad emitido por el Buró Federal de Investigaciones de los Estados Unidos (FBI), la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Centro Europeo de Cibercriminalidad de Europol (EC3) y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL).

Según las investigaciones del FBI, el ransomware Akira ha dirigido sus ataques a una amplia gama de empresas y entidades de infraestructura crítica en América del Norte, Europa y Australia desde marzo de 2023.

Mientras que el ransomware inicialmente apuntó a sistemas Windows, el FBI encontró recientemente la variante de Akira para Linux apuntando a máquinas virtuales VMware ESXi que se utilizan ampliamente en muchas grandes empresas y organizaciones.

? #StopRansomare: Revisa nuestro ? #cybersecurity advisory, que describe los #AkiraRansomware #TTPs y #IOCs, desarrollado con @FBI, @EC3Europol y @NCSC_NL para reducir la explotación de empresas e infraestructura crítica. https://t.co/2VBMKhoAXK pic.twitter.com/Nn0fEK4HRw — CISA Cyber (@CISACyber) 18 de abril de 2024

“Las primeras versiones de la variante de ransomware Akira fueron escritas en C++ y cifraron archivos con una extensión .akira; sin embargo, a partir de agosto de 2023, algunos ataques de Akira comenzaron a implementar Megazord, utilizando código basado en Rust que cifra archivos con una extensión .powerranges. Los actores de amenazas de Akira han continuado utilizando tanto Megazord como Akira, incluyendo Akira_v2 (identificado por investigaciones de terceros de confianza) de manera intercambiable”, dice el aviso conjunto de ciberseguridad.

El FBI y los investigadores de ciberseguridad han observado que los actores de amenazas de Akira obtienen acceso inicial a las organizaciones a través de un servicio de red privada virtual (VPN) sin autenticación multifactor (MFA) configurada, utilizando principalmente vulnerabilidades conocidas de Cisco CVE-2020-3259 y CVE-2023-20269.

Métodos adicionales de acceso inicial incluyen el uso de servicios expuestos externamente como el Protocolo de Escritorio Remoto (RDP), ataques de spear phishing y abuso de credenciales.

Una vez que se obtiene el acceso inicial, los actores de amenazas de Akira intentan explotar las funciones de los controladores de dominio creando nuevas cuentas de dominio para establecer persistencia.

El grupo utiliza técnicas de Kerberoasting y Mimikatz para extraer credenciales, LaZagne para ayudar en la escalada de privilegios, PowerTool para explotar el controlador Zemana AntiMalware y terminar procesos relacionados con antivirus, y FileZilla, WinRAR, WinSCP y RClone para la exfiltración de datos.

“Los actores de amenazas de Akira no dejan una demanda de rescate inicial ni instrucciones de pago en redes comprometidas, y no transmiten esta información hasta que son contactados por la víctima”, dijeron las agencias.

“Los pagos de rescate se realizan en Bitcoin a direcciones de billeteras de criptomonedas proporcionadas por los actores de amenazas. Para ejercer más presión, los actores de amenazas de Akira amenazan con publicar datos exfiltrados en la red Tor, y en algunos casos han llamado a las empresas víctimas, según informes del FBI.”

El FBI, CISA, EC3 y NCSC-NL han proporcionado una serie de prácticas robustas de ciberseguridad para que los defensores combatan la amenaza del ransomware Akira, incluyendo:

Habilitar autenticación multifactor (MFA) resistente al phishing en todos los sistemas críticos, particularmente VPNs, correo web y cuentas; implementar controles de acceso estrictos y segmentar redes para restringir la propagación del ransomware; mantener copias de seguridad de datos fuera de línea; mantener regularmente la copia de seguridad y restauración y asegurarse de que todos los sistemas operativos, software y firmware estén actualizados.