GETOVERX FORUM Community Support
Akira Ransomware [2023] - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: Akira Ransomware [2023] (/showthread.php?tid=117)

Akira Ransomware [2023] - mrwebfeeder - 12-05-2025

Nombre: Akira Ransomware

Categoría: Ransomware (RaaS, doble extorsión)

Fecha de descubrimiento: Primeras actividades documentadas a inicios de 2023

Comportamiento (lo que hace y archivos que infecta):
Akira es una familia de ransomware operada como Ransomware-as-a-Service (RaaS). Sus características clave:
- Cifra archivos en sistemas Windows y Linux (en algunas variantes) usando criptografía fuerte.
- Antes del cifrado, exfiltra datos sensibles de la red de la víctima (doble extorsión).
- Enfocada en organizaciones: especialmente proveedores de servicios gestionados (MSP), educación, salud y otros sectores.

Tipos de archivos afectados:
- Documentos Office, PDF, imágenes, bases de datos, proyectos, máquinas virtuales y backups accesibles.
- Recorre discos locales, unidades de red y recursos compartidos cifrando la mayor cantidad posible.

En muchos incidentes:
- Los atacantes obtienen acceso inicial vía credenciales comprometidas, vulnerabilidades VPN, RDP o aplicaciones expuestas.
- Una vez dentro, realizan reconocimiento, movimiento lateral y exfiltración de datos antes de lanzar el cifrado.

Persistencia:
La “persistencia” en Akira suele ser operativa:
- Uso prolongado de cuentas comprometidas (administradores de dominio, RDP, VPN).
- Despliegue de herramientas de administración remota y beacons para mantener acceso.
- El binario de ransomware en sí mismo puede no buscar persistencia tradicional, ya que su objetivo es cifrar y terminar el sistema rápidamente, pero el acceso del atacante a la red suele durar semanas antes del cifrado.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Akira:
Code:
4f16317dba9b983bf494892dcd227c0795f3809303e3b2787bf0a2193a318e0c

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Hacer escaneo completo para localizar el ejecutable de Akira y cualquier dropper.
    - Revisar especialmente servidores, controladores de dominio y shares críticos.

  • Firewall:
    - Aislar inmediatamente equipos que muestren actividad de cifrado o comunicación con IPs/C2 asociadas.
    - Restringir RDP, VPN y servicios expuestos a Internet únicamente a canales autenticados y protegidos (MFA, IPs de confianza).

  • HIPS/EDR:
    Reglas clave:
    - Detección de patrones de ransomware: creación masiva de archivos con nuevas extensiones, borrado de Shadow Copies, alto volumen de escritura en poco tiempo.
    - Detección de herramientas de descubrimiento de red, dumping de credenciales y uso de herramientas de administración “living-off-the-land” (psexec, wmic, etc.).
    Al dispararse, GetOverX Shield debe:
    - Matar el proceso sospechoso.
    - Bloquear el binario por hash.
    - Opcionalmente poner el equipo en modo “aislado” a nivel de red.

  • Sandbox:
    - Analizar en Sandbox cualquier fichero sospechoso recibido por correo o descargado por administradores antes de ejecutarlo en servidores.
    - Probar scripts y herramientas “adicionales” que se reciban supuestamente de proveedores/soporte.

  • Medidas posteriores al incidente:
    - Desconectar los sistemas afectados de la red.
    - No borrar evidencias: preservar logs para análisis forense.
    - Restaurar datos únicamente desde copias de seguridad offline no accesibles durante el ataque.
    - Rotar credenciales privilegiadas (dominio, VPN, acceso a paneles y servicios críticos).
    - Revisar políticas de segmentación de red y endurecerlas para limitar impacto futuro.