Este grupo de ransomware de Bitcoin drena 42 millones de dólares

La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL) y el Centro Europeo de Ciberdelincuencia de Europol (EC3) han emitió una advertencia conjunta sobre el ransomware Akira.

El grupo es responsable de ataques contra más de 250 empresas y entidades de infraestructura crítica desde marzo de 2023, principalmente en América del Norte, Europa y Australia.

La evolución de Akira y sus técnicas de ataque.

Los actores de amenazas de Akira han acumulado aproximadamente 42 millones de dólares en rescates hasta el 1 de enero de 2024. Se han dirigido a varias industrias, lo que genera importantes preocupaciones para las organizaciones de todo el mundo.

Inicialmente escrito en C++, Akira originalmente cifraba archivos con una extensión .akira. Sin embargo, han surgido variaciones. A partir de agosto de 2023, el grupo distribuyó el ransomware Megazord basado en Rust, añadiendo una extensión .powerranges a sus archivos cifrados. Algunos ataques ahora implican el despliegue de variantes de Megazord y Akira para lograr un mayor impacto.

Leer más: Principales estafas de criptomonedas en 2024

Los investigadores del FBI y de ciberseguridad rastrearon los métodos de acceso iniciales de Akira. Comúnmente explotan vulnerabilidades conocidas en los servicios VPN de Cisco que carecen de autenticación multifactor (MFA). Además, obtienen acceso a través de protocolos de escritorio remoto, phishing y credenciales comprometidas.

Una vez dentro de una red, los atacantes de Akira crean nuevas cuentas de dominio para mantener la persistencia. Luego aprovechan herramientas de extracción de credenciales como Mimikatz para aumentar los privilegios. El reconocimiento del sistema y la identificación del controlador de dominio se realizan utilizando herramientas como SoftPerfect y Advanced IP Scanner, junto con comandos nativos de Windows.

Los autores de Akira a menudo desactivan el software de seguridad antes de moverse lateralmente a través de redes comprometidas. Se ha observado que PowerTool desactiva los procesos antivirus para evadir la detección.

Para robar datos confidenciales, los operadores de Akira utilizan ampliamente herramientas de exfiltración como FileZilla, WinSCP y servicios de almacenamiento en la nube. Establecen canales de comando y control con AnyDesk, RustDesk y Cloudflare Tunnel.

Fieles al modelo de doble extorsión, los actores de Akira cifran los sistemas después de robar datos. Su nota de rescate incluye un código único y una URL .onion para contactarlos. No especifican un monto de rescate inicial, lo que lleva a las víctimas a negociar.

Los pagos de rescate se pagan en Bitcoin a direcciones de billetera criptográfica proporcionadas por los actores de amenazas.

Además, para ejercer mayor presión, los actores de amenazas de Akira amenazan con publicar datos robados en la red Tor y, en algunos casos, han llamado a las empresas víctimas, informó el FBI.

El FBI, CISA, EC3 y NCSC-NL han emitido recomendaciones integrales para el sistema de actores de amenazas Akira y las técnicas de detección de redes. La implementación de estas mitigaciones puede reducir significativamente el riesgo de un ataque exitoso.

«Además de aplicar mitigaciones, el FBI, CISA, EC3 y NCSC-NL recomiendan ejercitar, probar y validar el programa de seguridad de su organización contra los comportamientos de amenazas asignados al marco MITRE ATT&CK for Enterprise en este aviso», escribió CISA en el su relación.

Leer más: Los 5 principales fallos de seguridad criptográfica y cómo evitarlos

Bitcoin-drena-42-millones-de.png«/>

Según un informe de Chainalysis de febrero de 2024, los ataques de ransomware se intensificaron en 2023, con mil millones de dólares extorsionados a las víctimas. Esto pone de relieve la creciente amenaza cibernética y la necesidad de que las organizaciones mejoren sus defensas cibernéticas.