Akira es, actualmente, una de las operaciones de ransomware más activas y peligrosas del panorama internacional. Un aviso conjunto publicado por la Europol, el FBI, la CISA (Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU.) y el Centro de Ciberseguridad de los Países Bajos (NCSC-NL) hace balance sobre esta amenaza.
Según el informe, los operadores de este ransomware han recaudado desde el pasado 1 de enero hasta la fecha 42 millones de dólares obtenidos en pagos de rescate a través de más de 250 víctimas que se han aflojado el bolsillo.
Akira es una operación activa desde marzo de 2023. Los ciberdelincuentes que lo utilizan se han dirigido contra organizaciones de diversas industrias, como la educación, las finanzas y el sector inmobiliario.
En estos 11 meses Akira ha afectado a una amplia gama de empresas e infraestructuras críticas en Europa, Norteamérica y Australia.
Como otros grupos de ransomware, el grupo ha desarrollado un cifrador de Linux para apuntar a servidores VMware ESxi.
Las primeras versiones de la variante del ransomware Akira se escribieron en C++ y cifraron archivos con una extensión .akira; sin embargo, a partir de agosto de 2023, algunos de comenzaron a implementar Megazord, utilizando código basado en Rust que cifra archivos con una extensión .powerranges.
Cómo operan
Los investigadores han podido constatar como estos actores de amenazas obtienen acceso inicial a las organizaciones a través de un servicio de red privada virtual (VPN) sin autenticación multifactor (MFA) configurada, principalmente utilizando vulnerabilidades conocidas de Cisco.
Una vez que se obtiene el acceso inicial, los actores de amenazas de Akira intentan abusar de las funciones de los controladores de dominio creando nuevas cuentas de dominio para establecer la persistencia.
El grupo suele utilizar un modelo de doble extorsión y cifra los sistemas después de extraer datos. Para bloquear datos, se sirven de un sofisticado esquema de cifrado híbrido. El malware utiliza CryptGenRandom y ChaCha 2008 para el cifrado de archivos.
Generalmente, los operadores de Akira no dejan una solicitud de rescate inicial ni instrucciones de pago en las redes comprometidas, y no transmiten esta información hasta que la víctima se pone en contacto con ellos.
Los pagos suelen recibirse en Bitcoin a direcciones de billeteras de criptomonedas proporcionadas. Para ejercer aún más presión, los ciberdelincuentes de Akira amenazan con publicar datos exfiltrados en la red Tor y, en algunos casos, incluso han llamado a las empresas que han sido víctimas, según informes del FBI.