Els ciberdelinqüents darrere del ransomware Akira van guanyar més de 42 milions de dòlars en un any

Els ciberdelinqüents responsables del ransomware Akira han acumulat una quantitat impressionant de més de 42 milions de dòlars en només un any, segons informes de CISA, l'FBI, Europol i el Centre Nacional de Ciberseguretat dels Països Baixos (NCSC-NL). Les seves nefastes activitats han afectat més de 250 entitats a tot el món, que abasten una sèrie d'indústries, com ara serveis, fabricació, educació, construcció, infraestructures críticas, finances, sanitat i sectors legals.

Inicialment limitat a sistemes Windows, Akira Ransomware ha ampliat el seu abast per infectar màquines virtuals VMware ESXi des de l'abril de 2023. A més, el seu arsenal es va reforçar amb la integració de Megazord a partir d'agost de 2023, tal com van destacar CISA, l'FBI, Europol i NCSC-NL en un assessorament recent.

Els operadors d'Akira Ransomware han demostrat un modus operandi sofisticat, aprofitant les vulnerabilitats dels serveis VPN que no tenen autenticació multifactorial, sobretot aprofitant les debilitats conegudes en productes Cisco com CVE-2020-3259 i CVE-2023-20269. També han emprat tàctiques com ara la infiltració del protocol d'escriptori remot (RDP), campanyes de pesca de pesca i la utilització de credencials vàlides per infiltrar-se en els entorns de les víctimes.

Després d'obtenir l'accés inicial, aquests actors d'amenaça mostren estratègies de persistència meticuloses, creant nous comptes de domini, extreient credencials i realitzant un ampli reconeixement de la xarxa i del controlador de domini. L'avís subratlla una evolució notable en les tàctiques d'Akira, amb el desplegament de dues variants de ransomware diferents contra diferents arquitectures del sistema dins d'un únic esdeveniment d'incompliment.

En un intent per evitar la detecció i facilitar el moviment lateral, els operadors d'Akira desactiven sistemàticament el programari de seguretat. El seu conjunt d'eines inclou una sèrie d'aplicacions de programari per a l'exfiltració de dades i l'establiment de comunicacions de comandament i control, com FileZilla, WinRAR, WinSCP, RClone, AnyDesk, Cloudflare Tunnel, MobaXterm, Ngrok i RustDesk.

De manera similar a altres sindicats de ransomware , Akira adopta un model d'extorsió dual, exfiltrant les dades de les víctimes abans del xifratge i exigint el pagament en Bitcoin mitjançant canals de comunicació basats en Tor. Els atacants augmenten encara més la pressió amenaçant amb revelar públicament dades exfiltrades a la xarxa Tor i, en alguns casos, contactar directament amb organitzacions víctimes.

En resposta a aquest panorama d'amenaces creixents, l'assessorament proporciona als defensors de la xarxa indicadors de compromís (IoC) associats amb Akira, juntament amb estratègies de mitigació recomanades per enfortir les seves defenses contra aquests atacs.