• Ciberseguridad

Ransomware Akira | La amenaza que evoluciona en las sombras con más de 250 víctimas

Ransomware Akira

El Ransomware Akira no podía pasar por alto en mi artículo semanal, y como ya es costumbre, hoy te traigo un análisis detallado sobre uno de los actores de amenazas más notorios en el ámbito de la ciberseguridad: Akira.

Desde su aparición en marzo de 2023, estos ciberdelincuentes han logrado extorsionar alrededor de 42 millones de dólares de más de 250 víctimas hasta el 1 de enero de 2024. ¿Qué tal si desentrañamos sus tácticas, técnicas y procedimientos, así como su evolución y el impacto que han tenido en la seguridad cibernética global? Continúa leyendo, porque Akira sigue más fuerte que nunca.

Una expansión sin fronteras de Akira

Desde sus inicios, el ransomware Akira ha dirigido sus ataques a una amplia variedad de empresas y entidades de infraestructura crítica en América del Norte, Europa y Australia. Las agencias de ciberseguridad de los Países Bajos y EE. UU., junto con el Centro Europeo de Ciberdelincuencia (EC3) de Europol, han alertado conjuntamente sobre este creciente peligro. Originalmente, Akira centraba sus esfuerzos en sistemas Windows, pero en abril de 2023 ampliaron su arsenal con una variante de Linux dirigida a las máquinas virtuales VMware ESXi, demostrando una peligrosa adaptabilidad.

Tecnología y técnica del Ransomware Akira

La evolución tecnológica del Ransomware Akira es un aspecto particularmente destacado de su desarrollo. En sus primeras etapas, Akira utilizaba una variante del casillero escrita en C++, una elección común para muchos tipos de malware debido a la eficiencia y el control que ofrece este lenguaje. Sin embargo, a partir de agosto de 2023, Akira migró a un código basado en Rust, una decisión estratégica que conlleva varias ventajas.

Rust es conocido por su seguridad en la memoria y su rendimiento elevado, características que hacen que el Ransomware sea más robusto y difícil de analizar y contrarrestar por los defensores de ciberseguridad. Este cambio no solo mejora la eficacia del Ransomware, sino que también aumenta la dificultad de las tareas de ingeniería inversa y análisis estático que realizan los expertos en ciberseguridad.

Akira no es simplemente una reminiscencia del Ransomware homónimo de 2017; es una entidad completamente nueva y más sofisticada. Utiliza un algoritmo de cifrado híbrido que combina Chacha20 y RSA, proporcionando una capa adicional de complejidad y seguridad a sus ataques. Chacha20, un cifrado de flujo eficiente y seguro, se encarga de cifrar los datos, mientras que RSA, un algoritmo de cifrado asimétrico, se utiliza para cifrar las claves utilizadas por Chacha20. Esta combinación dificulta significativamente el proceso de descifrado sin la clave privada correspondiente.

Además de su avanzado mecanismo de cifrado, el Ransomware Akira posee la capacidad de inhibir la recuperación del sistema al eliminar las instantáneas del sistema afectado. Esta técnica impide que las víctimas utilicen puntos de restauración para recuperar sus datos sin pagar el rescate, aumentando así la efectividad del ataque y la probabilidad de que las víctimas se vean obligadas a cumplir con las demandas de los atacantes.

La sofisticación técnica del Ransomware Akira, junto con su capacidad para adaptarse y evolucionar, subraya la necesidad de una vigilancia continua y estrategias de defensa proactivas por parte de las organizaciones y profesionales de la ciberseguridad.

El código de Akira y la influencia de Conti

Una de las peculiaridades más destacadas del Ransomware Akira es bastante notable no solo por su impacto, sino también por su base de código, la cual tiene raíces en la filtración del código fuente del Ransomware Conti. Conti, una amenaza prominente en el mundo del cibercrimen, ha dejado una marca significativa, y su código filtrado ha proporcionado una base valiosa para otros grupos de Ransomware.

La reutilización del código de Conti en el Ransomware Akira no solo refleja una continuidad técnica, sino también una evolución estratégica. Los desarrolladores de Ransomware aprovechan los recursos existentes para adaptarse rápidamente y mejorar sus tácticas. Al incorporar elementos del código de Conti, el Ransomware Akira ha podido expandir sus capacidades y afinar sus técnicas de ataque, demostrando la agilidad y la capacidad de aprendizaje dentro de la comunidad delictiva.

Esta práctica de reutilización y adaptación de códigos maliciosos es una tendencia preocupante, ya que permite a los actores de amenazas evolucionar más rápido de lo que las defensas cibernéticas pueden adaptarse. La comunidad de ciberseguridad debe estar siempre alerta y mejorar continuamente sus estrategias defensivas para contrarrestar estas amenazas en constante cambio.

Acceso y persistencia del Ransomware Akira

El acceso inicial a las redes objetivo es facilitado mediante la explotación de fallas conocidas en dispositivos Cisco, como CVE-2020-3259 y CVE-2023-20269. Alternativamente, los atacantes emplean varias tácticas para comprometer las redes objetivo:

Ransomware Akira NOte
  • Phishing: Envío de correos electrónicos fraudulentos que parecen provenir de fuentes confiables para engañar a los usuarios y obtener acceso a información confidencial.
  • Uso de credenciales válidas: Obtención de credenciales a través de ataques de fuerza bruta, ingeniería social o aprovechando filtraciones previas.
  • Servicios de Red Privada Virtual (VPN): Acceso a redes internas a través de VPN que no cuentan con protección de autenticación multifactor (MFA).

Para establecer y mantener persistencia en los sistemas comprometidos, los atacantes emplean una variedad de técnicas avanzadas. A continuación se describen dos de las técnicas más comunes:

✔️ Creación de nuevas cuentas de dominio

Los atacantes crean nuevas cuentas de dominio en los sistemas comprometidos para asegurar el acceso continuo y prolongado a la red. Esta técnica les permite operar sin interrupciones, incluso si las credenciales iniciales son descubiertas y bloqueadas. Los pasos típicos incluyen:

  1. Creación de Cuentas: Los atacantes crean nuevas cuentas de usuario con permisos administrativos o privilegios elevados.
  2. Asignación de Permisos: Configuran las nuevas cuentas con los permisos necesarios para ejecutar tareas críticas y acceder a recursos clave dentro de la red.
  3. Ocultación de Cuentas: Utilizan nombres de cuentas que parecen legítimos o que imitan las convenciones de nombres utilizadas en la organización objetivo para evitar sospechas.
  4. Automatización: Implementan scripts y herramientas para automatizar la creación y gestión de estas cuentas, asegurando que cualquier intento de eliminación de cuentas por parte del equipo de seguridad sea rápidamente contrarrestado.
  • Permite acceso continuo a los sistemas comprometidos.
  • Creación y configuración de cuentas con permisos administrativos.
  • Ocultación y automatización de la gestión de cuentas.

✔️Abuso del controlador Zemana AntiMalware

Otra técnica avanzada utilizada por los atacantes es el abuso del controlador Zemana AntiMalware, aprovechando el ataque conocido como Bring Your Own Vulnerable Driver (BYOVD). Este método implica el uso de controladores legítimos pero vulnerables para deshabilitar soluciones de seguridad y antivirus. Los pasos incluyen:

  1. Identificación de Controladores Vulnerables: Los atacantes identifican controladores de software legítimo que tienen vulnerabilidades conocidas y que pueden ser explotados.
  2. Carga del Controlador Vulnerable: Utilizan el controlador Zemana AntiMalware, que tiene vulnerabilidades conocidas, para cargarlo en el sistema objetivo.
  3. Ejecución del Ataque BYOVD: Aprovechan las vulnerabilidades en el controlador para ejecutar código malicioso con privilegios elevados. Esto les permite finalizar procesos de antivirus y otras soluciones de seguridad.
  4. Evasión de Detección: Al deshabilitar el antivirus y otras herramientas de seguridad, los atacantes pueden operar sin ser detectados, manteniendo así el control sobre el sistema comprometido.
  5. Persistencia en el Sistema: Una vez que las soluciones de seguridad están deshabilitadas, los atacantes pueden implementar otras herramientas y métodos para mantener el acceso persistente, como la instalación de backdoors y malware adicional.
  • Identificación y uso de controladores vulnerables.
  • Ejecución de ataques BYOVD para deshabilitar antivirus y soluciones de seguridad.
  • Evasión de detección y mantenimiento del acceso persistente.

Ten en cuenta que, estas técnicas subrayan la sofisticación de los métodos utilizados por los atacantes para mantener el control de los sistemas comprometidos y operar sin interrupciones. La capacidad de crear nuevas cuentas de dominio y deshabilitar soluciones de seguridad les proporciona una ventaja significativa en la prolongación de sus actividades maliciosas dentro de una red comprometida.

Escalada de privilegios

Para escalar privilegios dentro de los sistemas comprometidos, los atacantes confían en herramientas avanzadas de extracción de credenciales:

  • Mimikatz: Utilizado para extraer contraseñas, hashes de contraseñas, PINs y tickets Kerberos de la memoria.
  • LaZagne: Herramienta de código abierto para recuperar contraseñas almacenadas localmente en una variedad de aplicaciones.

Movimiento lateral y exfiltración de datos

Una vez que los atacantes han obtenido acceso y escalado privilegios, utilizan varias tácticas para moverse lateralmente y extraer datos:

  • Movimiento Lateral: Facilitado a través de Windows Remote Desktop Protocol (RDP), permitiendo a los atacantes moverse entre diferentes sistemas dentro de la red comprometida.
  • Exfiltración de Datos: Uso de herramientas como:
    • FileZilla: Cliente FTP que permite transferir archivos a servidores remotos.
    • WinRAR: Utilizado para comprimir y cifrar archivos antes de su transferencia.
    • WinSCP: Cliente SFTP y SCP para transferencias seguras de archivos.
    • RClone: Herramienta de línea de comandos para gestionar archivos en la nube.

Resumen de técnicas utilizadas por Ransomware Akira

  1. Acceso Inicial:
    • Explotación de fallas en dispositivos Cisco (CVE-2020-3259, CVE-2023-20269)
    • Phishing
    • Uso de credenciales válidas
    • Acceso a través de VPN sin MFA
  2. Persistencia:
    • Creación de nuevas cuentas de dominio
    • Abuso de Zemana AntiMalware (BYOVD)
  3. Escalada de privilegios:
    • Uso de Mimikatz
    • Uso de LaZagne
  4. Movimiento lateral:
    • Uso de Windows RDP
  5. Exfiltración de datos:
    • Uso de FileZilla
    • Uso de WinRAR
    • Uso de WinSCP
    • Uso de RClone

Esta metodología demuestra la sofisticación y la diversidad de técnicas empleadas por los atacantes para comprometer redes, mantener acceso persistente, y exfiltrar datos valiosos.

Afiliación y conexiones

Los datos de blockchain y el análisis de código fuente sugieren una afiliación probable entre el Ransomware Akira y la desaparecida pandilla de Ransomware Conti. Esto refuerza la sofisticación y los recursos a disposición del Ransomware Akira, así como su conexión con una de las más notorias entidades de Ransomware del pasado reciente.

Los rivales en el reino del Ransomware

Mientras que el Ransomware Akira sigue causando estragos, otros grupos de Ransomware también están dejando su huella. LockBit, por ejemplo, ha enfrentado una significativa presión tras una amplia operación policial en febrero, que afectó gravemente su capacidad operativa y reputación. LockBit ha intentado recuperar su estatus publicando datos de víctimas antiguas y falsas, una estrategia que refleja su desesperación por mantenerse relevante.

Por otro lado, el grupo Agenda, también conocido como Qilin y Water Galura, ha mostrado una evolución similar al Ransomware Akira al utilizar una variante actualizada de Rust para atacar servidores VMWare vCenter y ESXi, que sin más ni más puedes leer un excelente artículo sobre este último Ransomware. Estos movimientos indican una tendencia creciente entre los actores de Ransomware para apuntar a infraestructuras de máquinas virtuales.

La democracia del crimen cibernético

Una tendencia alarmante es el surgimiento del «ransomware crudo y barato». Este fenómeno permite a delincuentes de menor nivel adquirir herramientas de ransomware por tan solo $20, permitiéndoles realizar ataques significativos sin pertenecer a un grupo organizado. Esto democratiza el acceso al cibercrimen, aumentando el número de ataques y dificultando aún más la defensa.

Akira representa una evolución peligrosa en el panorama del ransomware, mostrando una adaptabilidad tecnológica y táctica que lo hace una amenaza formidable. La continua mutación de este y otros grupos de ransomware subraya la necesidad de mantenernos vigilantes y preparados. La ciberseguridad es un juego constante de gato y ratón, y en este juego, la información y la preparación son nuestras mejores armas.

A mantenernos seguros y alerta, con amenazas emergentes que ponen día a día en jaque la estabilidad de las empresas en todo el mundo. En el siguiente link podrás extender la información que necesites para estar actualizado. También puedes seguirme en LinKedIn para estar en contacto.

Otros artículos