GETOVERX FORUM Community Support
Ransomware – Akira (2023) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: Ransomware – Akira (2023) (/showthread.php?tid=56)

Ransomware – Akira (2023) - mrwebfeeder - 11-29-2025

Nombre: Akira

Categoría: Ransomware (Windows/Linux)

Fecha de descubrimiento: 2023

Comportamiento (lo que hace y archivos que infecta):
- Ransomware orientado a entornos corporativos, con variantes para Windows y Linux/ESXi.
- Curve25519 encryption:
- Emplea cifrado híbrido:
- Algoritmo simétrico rápido (ej. ChaCha20/AES) para cifrar el contenido de los archivos.
- Intercambio de claves basado en Curve25519 para proteger las claves de cifrado de cada víctima.
- Su objetivo es cifrar datos de alto valor:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos, máquinas virtuales, ficheros de aplicaciones de negocio.
- Backups accesibles y unidades de red mapeadas (shares SMB/NFS).
- Steals credentials:
- Antes o durante el cifrado, roba credenciales del sistema:
- Navegadores, clientes de correo, VPN, herramientas de administración.
- Archivos de configuración con usuarios/contraseñas o tokens.
- Las credenciales robadas se utilizan para movimiento lateral y, potencialmente, nuevos ataques.
- Suele acompañarse de exfiltración de datos antes del cifrado para aplicar esquemas de doble extorsión (filtración de datos + cifrado).

Persistencia:
- Fake services:
- Crea servicios falsos (con nombres que imitan componentes del sistema o herramientas de mantenimiento) apuntando a su ejecutable.
- Estos servicios se configuran para iniciarse automáticamente al arrancar el sistema.
- Puede complementarse con:
- Tareas programadas que relanzan el binario o sus loaders.
- Uso continuado de credenciales robadas para reintroducir el ransomware en caso de limpieza parcial.

Hash real de referencia (SHA-256):
Muestra pública asociada a Akira:
Code:
8b0e5d6814304f73691b141018e8af2169c9cbb86019034c5143f92b15bb1fa2

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Process anomaly detection (EDR):
    - Activar en el módulo EDR la detección de anomalías de proceso para identificar:
    - Procesos que abren, modifican y renombran grandes volúmenes de archivos en poco tiempo.
    - Picos de uso de CPU y disco asociados a operaciones de cifrado.
    - Configurar respuesta automática para:
    - Matar el proceso sospechoso en cuanto se detecte patrón de cifrado.
    - Registrar detalles (hash, ruta, usuario, host) en los logs unificados para análisis forense.

  • Block service creation from non-trusted apps (HIPS):
    - En el módulo HIPS:
    - Bloquear la creación de servicios por aplicaciones no confiables o no firmadas.
    - Generar alertas cuando un ejecutable desconocido intente:
    - Crear un nuevo servicio.
    - Modificar servicios existentes para apuntar a binarios no legítimos.
    - Establecer listas de aplicaciones confiables que sí pueden administrar servicios (herramientas de TI aprobadas, sistemas de gestión) y denegar el resto por defecto.

  • Enforce network isolation when ransomware behavior is detected:
    - Integrar EDR con el firewall de GetOverX Shield para que, al detectar comportamiento de ransomware:
    - Se apliquen reglas de aislamiento automático al host:
    - Bloqueo de SMB, RDP y otros protocolos usados para movimiento lateral.
    - Restricción de conexiones salientes a Internet salvo las estrictamente necesarias para gestión y remediación.
    - Utilizar este aislamiento para evitar:
    - Propagación a otros servidores y estaciones de trabajo.
    - Exfiltración de datos hacia la infraestructura de los atacantes.

Notas opcionales:
- Akira se ha destacado por sus variantes multi-plataforma y el uso de criptografía moderna (Curve25519), lo que hace prácticamente imposible el descifrado sin la clave privada del atacante cuando no existen errores de implementación.