12-05-2025, 04:32 PM
Nombre: Akira Ransomware
Categoría: Ransomware (RaaS, doble extorsión)
Fecha de descubrimiento: Primeras actividades documentadas a inicios de 2023
Comportamiento (lo que hace y archivos que infecta):
Akira es una familia de ransomware operada como Ransomware-as-a-Service (RaaS). Sus características clave:
- Cifra archivos en sistemas Windows y Linux (en algunas variantes) usando criptografía fuerte.
- Antes del cifrado, exfiltra datos sensibles de la red de la víctima (doble extorsión).
- Enfocada en organizaciones: especialmente proveedores de servicios gestionados (MSP), educación, salud y otros sectores.
Tipos de archivos afectados:
- Documentos Office, PDF, imágenes, bases de datos, proyectos, máquinas virtuales y backups accesibles.
- Recorre discos locales, unidades de red y recursos compartidos cifrando la mayor cantidad posible.
En muchos incidentes:
- Los atacantes obtienen acceso inicial vía credenciales comprometidas, vulnerabilidades VPN, RDP o aplicaciones expuestas.
- Una vez dentro, realizan reconocimiento, movimiento lateral y exfiltración de datos antes de lanzar el cifrado.
Persistencia:
La “persistencia” en Akira suele ser operativa:
- Uso prolongado de cuentas comprometidas (administradores de dominio, RDP, VPN).
- Despliegue de herramientas de administración remota y beacons para mantener acceso.
- El binario de ransomware en sí mismo puede no buscar persistencia tradicional, ya que su objetivo es cifrar y terminar el sistema rápidamente, pero el acceso del atacante a la red suele durar semanas antes del cifrado.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como Akira:
Mitigación con GetOverX Shield v3.0.2.0:
Categoría: Ransomware (RaaS, doble extorsión)
Fecha de descubrimiento: Primeras actividades documentadas a inicios de 2023
Comportamiento (lo que hace y archivos que infecta):
Akira es una familia de ransomware operada como Ransomware-as-a-Service (RaaS). Sus características clave:
- Cifra archivos en sistemas Windows y Linux (en algunas variantes) usando criptografía fuerte.
- Antes del cifrado, exfiltra datos sensibles de la red de la víctima (doble extorsión).
- Enfocada en organizaciones: especialmente proveedores de servicios gestionados (MSP), educación, salud y otros sectores.
Tipos de archivos afectados:
- Documentos Office, PDF, imágenes, bases de datos, proyectos, máquinas virtuales y backups accesibles.
- Recorre discos locales, unidades de red y recursos compartidos cifrando la mayor cantidad posible.
En muchos incidentes:
- Los atacantes obtienen acceso inicial vía credenciales comprometidas, vulnerabilidades VPN, RDP o aplicaciones expuestas.
- Una vez dentro, realizan reconocimiento, movimiento lateral y exfiltración de datos antes de lanzar el cifrado.
Persistencia:
La “persistencia” en Akira suele ser operativa:
- Uso prolongado de cuentas comprometidas (administradores de dominio, RDP, VPN).
- Despliegue de herramientas de administración remota y beacons para mantener acceso.
- El binario de ransomware en sí mismo puede no buscar persistencia tradicional, ya que su objetivo es cifrar y terminar el sistema rápidamente, pero el acceso del atacante a la red suele durar semanas antes del cifrado.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como Akira:
Code:
4f16317dba9b983bf494892dcd227c0795f3809303e3b2787bf0a2193a318e0cMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Hacer escaneo completo para localizar el ejecutable de Akira y cualquier dropper.
- Revisar especialmente servidores, controladores de dominio y shares críticos.
- Firewall:
- Aislar inmediatamente equipos que muestren actividad de cifrado o comunicación con IPs/C2 asociadas.
- Restringir RDP, VPN y servicios expuestos a Internet únicamente a canales autenticados y protegidos (MFA, IPs de confianza).
- HIPS/EDR:
Reglas clave:
- Detección de patrones de ransomware: creación masiva de archivos con nuevas extensiones, borrado de Shadow Copies, alto volumen de escritura en poco tiempo.
- Detección de herramientas de descubrimiento de red, dumping de credenciales y uso de herramientas de administración “living-off-the-land” (psexec, wmic, etc.).
Al dispararse, GetOverX Shield debe:
- Matar el proceso sospechoso.
- Bloquear el binario por hash.
- Opcionalmente poner el equipo en modo “aislado” a nivel de red.
- Sandbox:
- Analizar en Sandbox cualquier fichero sospechoso recibido por correo o descargado por administradores antes de ejecutarlo en servidores.
- Probar scripts y herramientas “adicionales” que se reciban supuestamente de proveedores/soporte.
- Medidas posteriores al incidente:
- Desconectar los sistemas afectados de la red.
- No borrar evidencias: preservar logs para análisis forense.
- Restaurar datos únicamente desde copias de seguridad offline no accesibles durante el ataque.
- Rotar credenciales privilegiadas (dominio, VPN, acceso a paneles y servicios críticos).
- Revisar políticas de segmentación de red y endurecerlas para limitar impacto futuro.