Akira se está convirtiendo rápidamente en una de las familias de ransomware de más rápido crecimiento gracias a su uso de tácticas de doble extorsión, un modelo de distribución de ransomware como servicio (RaaS) y opciones de pago únicas.
Según un informe de Arctic Wolf Labs, que analizó el código fuente y las transacciones en la BlockChain, el grupo de ransomware Akira parece estar afiliado a la ahora desaparecida pandilla de ransomware Conti. Se cree que Conti, una de las familias de ransomware más notorias de la historia reciente, es descendiente de otra prolífica familia de ransomware, el ransomware Ryuk, altamente dirigido.
A medida que los actores evolucionan sus tácticas, crean familias de ransomware más sofisticadas y causan daños financieros y de reputación a las empresas, las organizaciones deben trabajar para mejorar su postura de ciberseguridad para frustrar eficazmente las amenazas complejas. Este informe destaca a Akira, una novedosa familia de ransomware con operadores altamente experimentados y capacitados a su mando.
El ransomware Akira surgió en marzo de 2023 y originalmente se dirigía a empresas con sede en EE.UU. y Canadá pero actualmente está muy activo en América Latina.
Su sitio de filtración TOR tiene un aspecto retro único que recuerda a las “consolas de pantalla verde de los años 80” por las que se puede navegar escribiendo comandos específicos.
Según su código, es completamente diferente de la familia de ransomware Akira que estuvo activa en 2017, aunque ambos agregan archivos cifrados con la misma extensión .akira.
Como se mencionó anteriormente, los operadores de Akira están asociados con los actores del ransomware Conti, lo que explica las similitudes de código en ambas familias de ransomware. En julio, el equipo de Arctic Wolf Labs informó que Akira y Avast compartían similitudes de código con el ransomware Conti. Sin embargo, también señalaron que cuando se filtró el código fuente de Conti, diferentes actores maliciosos lo utilizaron para crear o modificar su propio código de ransomware, lo que hace que sea aún más difícil rastrear familias de ransomware hasta los operadores de Conti. El mismo método de análisis permitió al equipo de Arctic Wold identificar conexiones entre el grupo de extorsión Karakurt, Diavol, y Conti.
Según el análisis de TrendMicro, Akira parece estar basado en el ransomware Conti: comparte rutinas similares como la ofuscación de cadenas y el cifrado de archivos, y evita las mismas extensiones de archivos que Conti. Se cree que la principal motivación de los operadores de Akira para dirigirse a las organizaciones es de naturaleza financiera.
El grupo Akira RaaS realiza tácticas de doble extorsión y roba datos críticos de las víctimas antes de cifrar dispositivos y archivos. Curiosamente, según los informes, los operadores de Akira brindan a las víctimas la opción de pagar por el descifrado de archivos o la eliminación de datos; no obligan a las víctimas a pagar por ambos. Según otros informes, las demandas de rescate por Akira suelen oscilar entre 200.000 dólares y más de 4 millones de dólares.
El 12 de septiembre de 2023, el Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) del Departamento de Salud y Servicios Humanos de EE.UU. publicó un boletín de seguridad alertando a la industria de la salud sobre los ataques de Akira.
En junio de 2023, apenas tres meses después de que se descubriera, Akira amplió su lista de sistemas objetivo para incluir máquinas Linux. El analista de malware rivitna compartió en X que los actores del ransomware Akira utilizaron un cifrador de Linux y apuntaron a máquinas virtuales VMware ESXi.
La nota de rescate que dejan se denomina “akira_readme.txt” y menciona el sitio web TOR y una clave única para cada víctima.
Mientras tanto, en agosto, el investigador SecurityAura informó que Akira estaba apuntando a cuentas VPN de Cisco que no tenían autenticación multifactor (MFA). Cisco publicó un aviso de seguridad el 6 de septiembre de 2023, indicando que los operadores de ransomware Akira explotaron CVE-2023-20269, una vulnerabilidad de día cero en la función VPN de acceso remoto de dos de sus productos: el software Cisco Adaptive Security Appliance (ASA) y Software Cisco Firepower Thread Defense (FTD).
Cisco informó que los actores maliciosos que explotan CVE-2023-20269 pueden identificar credenciales válidas de las que se podría abusar para establecer sesiones VPN de acceso remoto no autorizadas y, para las víctimas que ejecutan la versión 9.16 del software Cisco ASA o anterior, establecer una sesión VPN SSL sin cliente.
Akira comúnmente se infiltra en sistemas Windows y Linux específicos a través de servicios VPN, especialmente donde los usuarios no han habilitado la autenticación multifactor. Para obtener acceso a los dispositivos de las víctimas, los atacantes utilizan credenciales comprometidas.
Una vez que un sistema está infectado con Akira, el malware intenta eliminar carpetas de respaldo que podrían usarse para restaurar datos perdidos. Luego, el ransomware cifra los archivos con determinadas extensiones y les añade la extensión “.akira” a cada uno de ellos. Cada víctima de Akira tiene una contraseña de negociación única que se ingresa en el sitio del actor de amenazas en la web oscura.
El 29 de junio de 2023, Avast lanzó un descifrador para el ransomware Akira que las organizaciones víctimas pueden utilizar para descifrar archivos. Pero, luego los actores de amenazas han modificado la rutina de cifrado desde que se publicó el descifrador, lo que indica que es posible que no funcione si los archivos se cifraron después del 29 de junio.
Fuente: TrendMicro