Akira es un Ransomware como grupo de Servicio (RaaS) que surgió en marzo de 2023. Desde entonces, el grupo ha participado en un alto volumen de campañas, particularmente en el último año. En abril de 2024, se estimó que Akira adquirió una suma de más de 42 millones de dólares en pagos de rescate. Sólo en 2024 se han reportado más de 300 ataques. Los gráficos a continuación muestran el número total de víctimas por año, el número de víctimas de Akira por mes en 2024 y los principales países afectados por Akira hasta la fecha.
Victimología y filiación
Las víctimas de Akiras abarcan una serie de organizaciones, incluidas empresas manufactureras, empresas de ingeniería y agricultura, proveedores de servicios financieros e instituciones de educación superior. Muchas de las víctimas de Akiras incluyen organizaciones con sede en países occidentales, como Estados Unidos, que constituyen la población de víctimas más grandes, seguidas por Canadá, el Reino Unido y organizaciones con sede en Alemania.
El nombre Akira puede evocar recuerdos cariñosos para parte de una película de anime de ciencia ficción llena de acción del mismo nombre que fue lanzada en 1988. Sin embargo, no se han identificado referencias operativas u otras referencias culturales para vincular los motivos y movimientos del actor de ransomware con el de un sindicato de ciberdelincuencia japonés o de Asia Oriental. En cambio, Akira es un actor de amenaza que probablemente está asociado con Rusia. Este desarrollo se produjo una vez que los analistas de seguridad descubrieron que el código malicioso de Akiras se diseñó de una manera que le impedía ejecutar sistemas que estaban equipados con un teclado en ruso. La correspondencia con los miembros de Akira fue encontrada en foros rusos en 2022. Si bien ha habido una reducción en el uso de foros subterráneos a favor de otras opciones semi-aníticas como Tox y Telegram, muchos grupos de ransomware mantienen cuentas en foros de hackers y mercados criminales en un esfuerzo por llegar a posibles afiliados y obtener más interés.
Apuntar a varios sistemas operativos y desarrollar diferentes cargas útiles
Akira tiene un amplio historial de alterar los tipos de cargas útiles que utilizan en sus operaciones. En marzo de 2023, cuando se descubrieron los incidentes de Akira por primera vez, Akira lanzó ataques de ransomware dirigidos a sistemas Windows. El cifrado asociado a estos ataques fue construido en C y adendió .akira a los archivos afectados. Poco después de abril de 2023, el grupo cambió de marcha para lanzar ataques con una carga útil Linux diseñada para cifrar los servidores de VMware ESXi.
En agosto de 2023, Akira desplegó Megazord para atacar los sistemas Windows. Esta variante difería de la versión anterior que apuntaba a los sistemas Windows desde que fue compilado en Rust y adjunto la extensión de .powerranges a archivos cifrados en lugar de .akira. Al mismo tiempo, Akira desarrolló una carga útil para atacar los servidores de VMware ESXi y los sistemas Linux utilizando una iteración del ransomware conocido como Akira v2.
En abril de 2024, Akira volvió a la forma, usando una carga de ransomware escrita en C- para cifrar los datos de la víctima y adjuntar la extensión .akira a los archivos afectados.
Akira v2
A diferencia de sus antiguas iteraciones de principios de 2023, Akira v2 está escrito en Rust y está diseñado para localizar archivos para cifrar basados en parámetros específicos. El ransomware Akira v2 también añade .akiranew a los archivos afectados. Dado que el cifrado de archivos puede ser más adaptado a un tipo de archivo específico, los datos que se pueden cifrar se extienden más allá de los tipos de archivos reportados en iteraciones pasadas que han sido blanco de ataques por Akira ransomware, por ejemplo, ade, .ckp, .dpl, .edb .sq, y .vdh–se trata de tipos de archivo asociados con archivos de proyecto de base de datos, medios ópticos, la base de datos de Exchange mailbox y discos duros virtuales.
El cifrado de archivos, específicamente aquellos que terminan en .edb y .vdh pueden resultar en mayores consecuencias ya que .edb es un tipo de archivo que almacena datos pertinentes al entorno del servidor de Microsoft-s Exchange. Y, .vdh es un archivo de disco duro virtual que interactúa con el software de virtualización. A pesar del hecho de que una gama de tipos de archivos de documentos y bases de datos comunes que son pertinentes para administrar máquinas virtuales en los hosts de Windows o Linux, incluyendo .vdi, .vmdk, vmemn, .vmsn, vmsd, .vhdx, .vhdx, .avhd, .vms, .vhdx, .avdx y .vmcx se pueden encriptar al descubrir, la capacidad de personalización para encontrar otros archivos hace que el ransomware letal.
El presente: Es esto un post v2 era?
Akira v2 vería un resurgimiento después de la primavera de 2024. Sin embargo, en octubre de 2024, los informes documentaron nuevos cambios en las tácticas de Akiras con una tensión que se movería hacia arriba para unirse a la v2 basada en Arsaras, entre el número de incidentes de Akira en aumento. Varios cambios fueron implementados por el actor de amenaza a la cepa de ransomware, incluyendo un retorno al código escrito en Cá y el uso de ChaCha8.
Aunque pueden darse menos casos de la iteración v2 y Megazord desde los informes iniciales de sus detecciones, esas versiones siguen identificadas en estado silvestre. Es importante también tener en cuenta que otros grupos de ransomware como Cicada3301 y Qiilin han utilizado ransomware cargas útiles escritas en Rust para hacer que tanto las acciones de desmontaje como la detección de malware sean mucho más difíciles.
Akiras Data Leak Site y Ransomware Note
El sitio de filtración de datos de Akiras cuenta con una interfaz de línea de comandos. Un usuario puede introducir comandos en el sitio de filtraciones de datos, como filtraciones para generar una lista de información filtrada y noticias para devolver información sobre filtraciones o víctimas que se avecinan.
Las URL se incluyen en el área de fugas en el sitio de filtraciones de datos, lo que permite a los usuarios acceder al contenido robado. Los usuarios que quieran descargar las filtraciones pueden hacerlo a través de un cliente torrente. También se proporcionan archivos con filtraciones, algunas filtraciones están protegidas por contraseña. Sin embargo, las contraseñas se suministran con información sobre cada torrente.
En notas pasadas de ransomware, Akira ha ordenado a las víctimas que se comuniquen con ellos para obtener más información, vinculando una página web y proporcionando un código de identidad de chat único.
El uso de tal Chat ID parece haber caído en desgracia, posible debido a la funcionalidad actual del sitio web principal de Akiras que incluye un argumento de contacto en nuestra interfaz de línea de comandos que acepta nombres y contenido de mensaje que se entrega para soportar.
Akira anima a las víctimas a ponerse en contacto con ellos para obtener más detalles sobre cómo recuperarse de un incidente, proporcionando un nombre y correo electrónico a través de la interfaz de línea de comandos de filtraciones de datos. El actor de amenaza menciona que un descifrado de prueba de muestra puede ponerse a disposición de las organizaciones afectadas que las contactan directamente.
El contenido de la nota de ransomware de Akiras indica la voluntad de entender los ingresos de una organización y negociar si es necesario, lo que se ilustra en el siguiente extracto:
Además, hemos tomado una gran cantidad de sus datos corporativos antes de la encriptación , por ahora keeps all lágrimas y resentimientos a nosotros mismos y tratar de construir un diálogo constructivo… Lidiar con nosotros usted ahorrará un montón debido a que no estamos interesados en arruinar su financiera.
Estudiaremos en profundidad sus finanzas, estados de cuenta bancarios y de ingresos, sus ahorros, inversiones, etc. Y presente nuestra cantidad razonable. Si tienes un seguro cibernético activo, háznoslo saber y te guiaremos cómo usarlo correctamente. Además, alargar el proceso de negociación conducirá a fracasar en un acuerdo.
Tácticas
La siguiente sección proporciona más información sobre las tácticas utilizadas por Akira y las asignaciones de esos patrones al Marco ATT&CK de MITRE.
Acceso inicial
Conocido por explotar vulnerabilidades comunes, incluyendo aquellas que afectan a las herramientas de acceso remoto y aplicaciones externas, Akira ha establecido el acceso inicial apuntando a fallas en los productos de cortafuegos y VPN y servicios en la nube.
Este año, las vulnerabilidades notables aprovechadas en los ataques de Akiras incluyeron CVE-2024-37085 y CVE-2024-40711, que afectan a los servidores ESXi y el servicio de copia de seguridad Veeam, respectivamente. El actor de amenazas ha utilizado herramientas como Veeam-Get-Creds y Veeam Hax para obtener y gestionar la filtración de credenciales a los servidores de Veeam.
Los entornos compuestos por productos SonicWall equipados con el SonicOS también fueron golpeados por el ransomware Akira este año; CVE-2024-40766 es la vulnerabilidad que se explotó en esos ataques.
Akira también ha establecido el acceso inicial aprovechando las credenciales comprometidas u obteniéndolas a través de otros medios, por ejemplo, un Broker de Acceso Inicial.
Descubrimiento
Akira realiza actividades esenciales de descubrimiento y hospedaje de reconocimiento mediante el despliegue de herramientas como escáneres IP y Adfind para iniciar consultas que obtengan datos sobre el ecosistema Active Directory.
Akira también es capaz de descubrir los procesos de ejecución, herramientas de seguridad y el lenguaje del sistema de destino. Estas tareas se realizan típicamente aprovechando las interacciones con las API de Microsoft.
Ejecución
Un archivo ransomware se deja caer a una máquina víctima; ejecutables maliciosos como w.exe y win.exe se asociaron con capacidades de cifrado en campañas de Akiras además de . Archivos ELF que se utilizaron para dirigirse a los sistemas Linux.
Persistencia
Akira establece la persistencia creando claves de registro y modificando la configuración del host. En ataques que primero explotan credenciales filtradas y debilidades que impactan al controlador de dominios, el actor de amenaza establece cuentas de Domain para mantener una presencia más fuerte.
Movimiento lateral
Akiras creación de cuentas, como una cuenta de copia de seguridad asociada a Veeam, y su uso de herramientas para extraer credenciales los ayudan a realizar acciones de movimiento lateral.
Evasión de defensa
Akira ransomware es capaz de detectar y evadir depuradores; también se caracteriza por elementos de codificación, incluyendo la codificación y la ofuscación Base64 para ocultar archivos y procesos. En una reciente iteración de Akira, se introdujo un componente que restringe su ejecución en un entorno de análisis; ese componente es el uso de un ID de construcción único.
Inhibición de la recuperación del sistema
Akira es capaz de eliminar copias de sombra de volumen; esa es una acción que se puede lograr a través de un script de PowerShell. El script hace referencia a un comando que elimina las copias de la sombra de volumen después de localizarlas a través de una interacción con WMI. Las organizaciones que utilizan copias de seguridad que no se evalúan a nivel de archivo y se basan en copias de la sombra de volumen se enfrentarán a una pérdida perjudicial si son víctimas de un ataque de ransomware de Akira.
La variante de ransomware Linux ESXI también permite al atacante invocar un comando vmonly para limitar el alcance de su ataque a máquinas virtuales y un comando stopvm para terminar máquinas virtuales activas.
Impacto
El cifrado y la exfiltración son las acciones resultantes en ataques de ransomware de Akira. Herramientas como WinSCP y Rclone son utilizadas por el actor de amenaza para exfiltrar los datos.
Qué va a venir?
A medida que el ransomware de Akira sigue golpeando a organizaciones de todo el mundo, es importante que las organizaciones vigilen sus ecosistemas en busca de patrones de compromiso y permanezcan informados sobre las diferentes cepas activas de ransomware Akira. Eso incluye no sólo v2 y Megazord, sino también el último código de ransomware. Akira experimentó un gran crecimiento en sus incidentes por mes poco después del primer semestre de 2024. Esperamos que este patrón de crecimiento continúe en 2025.
Recomendaciones
Implementar medidas de copia de seguridad y recuperación: Programe copias de seguridad regulares, asegúrese de que se prueban y mantenga copias de seguridad en un sistema separado de la red principal. Se aconseja que las copias de seguridad se almacenen en un ambiente offline y/o en la nube
Establecer controles de protección de la red : Ataque de red de fuerza La defensa y segmentación de la red: Redes de segmentación para limitar los resultados de movimiento lateral si se compromete un endpoint y asegurar que los sistemas críticos no interactúan con los recursos. que pueden tener una superficie de ataque de amplio ataque
Gestión de parches de rendimiento : Evalúe regularmente los parches y actualizaciones para desplegarlos, priorizándolos en base a su impacto en los activos de la organización.
Implementar Email Security Solutions : Utilice soluciones de filtrado de correo electrónico para bloquear correos electrónicos, archivos adjuntos y enlaces maliciosos Añadir mayor protección mediante la habilitación de sandboxing adjunto, lo que permite realizar un escaneo en tiempo real, identificando proactivamente el ransomware contenido en los archivos adjuntos antes de que el archivo adjunto se entregue a un usuario.
Ejecutar un Plan de Respuesta a Incidentes : La respuesta rápida es una parte vital de la protección y mitigación de ransomware. Un enfoque oportuno y proactivo es significativo a la hora de realizar acciones de respuesta a incidentes. Asegúrese de que el equipo de seguridad cuente con las personas, procesos y tecnologías para investigar a fondo y responder a un incidente, por ejemplo, bloqueando IPs, deteniendo los procesos o aislando a los huéspedes para cortar el acceso de un atacante a datos y recursos críticos y evitando una mayor explotación.
Soluciones de detección y respuesta de punto final (EDR) de despliegue , de uso de tecnologías EDR y/o MDR que aprovechan el monitoreo activo utilizando detecciones tanto conductuales como heurísticas para asegurar que los vectores de infección inicial se detecten e intensifiquen con precisión para la investigación. Probable la detección de amenazas en tiempo real y respuestas automatizadas para permitir que se ejecuten medidas de bloqueo y aislamiento contra dispositivos comprometidos en un incidente de ransomware.
Aproveche Inteligencia de Amenaza Operacional: La solución de inteligencia de amenaza adecuada puede proporcionar ideas críticas sobre los ataques. Bitdefender IntelliZone es una solución fácil de usar que consolida todo el conocimiento que hemos recopilado sobre las amenazas cibernéticas y los actores de amenaza asociados en un solo panel de vidrio para los analistas de seguridad, incluyendo el acceso al servicio de análisis de malware de última generación de Bitdefender.
Si ya tiene una cuenta de IntelliZone, puede encontrar información estructurada adicional en Amenaza IDs que incluyen: BD1v4nw4su, BDcrena0eu, BDc7c24y, BD80wyffwi, BD0sod05yv, BDx5nkwaqw y BDqy7jftpk.
Acceso remoto seguro : Aplique la autenticación multifactorial (AMF) para todos los puntos de acceso remoto, incluyendo VPNs y RDP. Utilice una VPN o una pasarela de acceso seguro para usuarios remotos en lugar de exponer a RDP directamente a Internet.
Bitdefender
Threat Researcher
