El ransomware Akira existe desde hace poco más de un año, pero ha causado su parte de daño. Ha acumulado más de 250 víctimas y ha obtenido alrededor de 42 millones de dólares en rescate, según agencias policiales y de ciberseguridad de Estados Unidos y Europa.
Akira fue detectado por primera vez en 2023, demostrando ser una persona altamente adaptable y en constante evolución , escribieron las agencias (CISA y el FBI en Estados Unidos, el Centro Europeo de Ciberdelincuencia de Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos) en un aviso este mes. El aviso es el último de la serie #StopRansomware que CISA, el FBI y otras organizaciones están emitiendo para alertar a las organizaciones sobre amenazas de prolíficas bandas de ransomware .
El grupo, que ha atacado empresas y organizaciones de infraestructura crítica en América del Norte, Europa y Australia, inicialmente apuntó a sistemas Windows, pero poco después también implementó una variante de Linux utilizada para máquinas virtuales VMware ESXi. Además, las primeras versiones del ransomware se escribieron en C++ y cifraban archivos con una extensión .akira, aunque en agosto de 2023 los expertos en ciberseguridad comenzaron a ver campañas que implementaban “Magazord”, una variante escrita en Rust y cifraba archivos con una extensión .powerranges.
Desde entonces, los malos actores que usan Akira han usado tanto Megazord como Akira (incluida una variante de Akira_v2) indistintamente y, en algunos casos, al mismo tiempo.
“Se ha observado que los actores de amenazas de Akira implementan dos variantes distintas de ransomware contra diferentes arquitecturas de sistemas dentro del mismo evento de compromiso”, escribieron las agencias en la alerta. “Esto marca un cambio con respecto a la actividad de afiliados de Akira informada recientemente. Se observó por primera vez a los actores de amenazas de Akira implementando el ransomware ‘Megazord’ específico de Windows, y un análisis más detallado reveló que se implementó una segunda carga útil simultáneamente en este ataque (que luego se identificó como una variante novedosa del cifrador Akira ESXi, ‘Akira_v2’). “
Apuntando a sistemas Linux
No es sorprendente que Akira y otros grupos de amenazas tengan ahora sistemas Linux en su punto de mira , según Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security . Los sistemas que ejecutan Windows de Microsoft siempre han sido el objetivo debido a su uso generalizado en redes corporativas.
“Sin embargo, las organizaciones han adoptado cada vez más infraestructura basada en Linux, particularmente en sectores críticos como finanzas, atención médica y gobierno, y estamos viendo que los actores de amenazas adaptan sus tácticas para capitalizar esta tendencia”, dijo Tiquet. “Los servidores Linux a menudo albergan aplicaciones y datos críticos, lo que los convierte en objetivos atractivos para la extorsión”.
“La naturaleza de código abierto de Linux permite a los actores de amenazas analizar y explotar vulnerabilidades más fácilmente, lo que podría conducir a ataques a mayor escala y con mayor impacto”, añadió Tiquet.
Omri Weinberg, cofundador y director de ingresos de DoControl , señaló que si bien Windows es propenso al 85% de los ataques de ransomware conocidos, Linux resulta atractivo para los ciberdelincuentes porque los servidores que ejecutan el sistema operativo albergan grandes almacenes de datos, redes y servicios web para ambos. empresas y entidades gubernamentales. “Al final, ambos sistemas operativos son objetivos debido a vulnerabilidades no parcheadas en su código base, que los ciberatacantes pueden aprovechar”, dijo Weinberg. “Linux ofrece una forma diferente de ingresar a las corporaciones, ya que las vulnerabilidades en el sistema operativo abren la posibilidad de infiltrarse en archivos y servicios, y cambia el juego del ransomware aumentando los privilegios de acceso o inyectando ejecutables con malignidades que llevan a cabo una función de comando y control. ataque para cifrar un entorno completo”.
¿Qué hace Akira?
Según el aviso, Akira, que la firma de ciberseguridad Arctic Wolf señaló el año pasado tenía vínculos con el ahora disuelto grupo de ransomware Conti , obtiene acceso inicial explotando las vulnerabilidades de Cisco en los servicios VPN que no utilizan autenticación multifactor (MFA), así como aprovechar servicios externos como el Protocolo de escritorio remoto (RDP), phishing y abusar de credenciales válidas.
Una vez en los sistemas, los actores de amenazas crean nuevas cuentas de dominio para establecer persistencia y utilizan Kerberoasting para descifrar hashes de contraseñas para cuentas de servicio en Active Directory, herramientas de extracción de credenciales como Mimikatz y LaZagne para escalamiento de privilegios, y SoftPerfect y Advanced IP Scanner para descubrir dispositivos de red. con fines de reconocimiento.
Para evadir la detección, los actores de Akira desactivan el software de seguridad y luego utilizan herramientas como FileZilla, WinRAR, WinSCP y RClone para extraer datos de los sistemas comprometidos. En diciembre, Morgan Demboski, analista de inteligencia de amenazas del equipo administrado de detección y respuesta de la firma de ciberseguridad Sophos, escribió que durante los meses anteriores los grupos de amenazas de Akira comenzaron a centrarse más en extraer datos de las víctimas con fines de extorsión en lugar de cifrarlos.
“Aunque solo se observó en un puñado de casos, la reciente tendencia de Akira de exfiltración sin cifrado por parte de Akira puede indicar nuevas tácticas de los actores para extorsionar a las víctimas sin el riesgo de detección adicional que podría desencadenar la implementación de ransomware”, escribió Demboski en ese momento.
Dicho esto, el cifrado todavía está en el menú, escribieron CISA y el FBI. “Los actores de amenazas de Akira utilizan un sofisticado esquema de cifrado híbrido para bloquear datos. Esto implica combinar un cifrado de flujo ChaCha20 con un criptosistema de clave pública RSA para un intercambio de claves rápido y seguro. Este enfoque de múltiples capas adapta los métodos de cifrado según el tipo y tamaño del archivo y es capaz de realizar un cifrado total o parcial”.
Fuente: securityboulevard
