Descubre cómo el grupo de ransomware Akira atacó a una aerolínea latinoamericana, exponiendo vulnerabilidades críticas y los métodos utilizados por los cibercriminales. Aprende cómo proteger tu organización de amenazas similares.
Tabla de contenidos
Toggle¿Qué es el ransomware Akira y cómo funciona?
Akira es una variante de ransomware como servicio (RaaS) desarrollada y operada por el grupo de amenazas cibernéticas Storm-1567. Este grupo es conocido por su enfoque en la extorsión, combinando el cifrado de datos con la filtración de información sensible para presionar a las víctimas a pagar un rescate.
Características clave de Akira:
- Doble extorsión: Además de cifrar los datos, los atacantes amenazan con filtrar información robada si no se paga el rescate.
- Abuso de herramientas legítimas: Akira utiliza herramientas de administración de sistemas legítimas para moverse lateralmente por la red y realizar sus actividades maliciosas.
- Orientación a múltiples sectores: El grupo ha atacado una amplia variedad de industrias, incluyendo salud, manufactura y servicios financieros.
- Variantes para diferentes sistemas operativos: Akira cuenta con variantes tanto para Windows como para Linux, lo que aumenta su capacidad de infectar diferentes tipos de sistemas.
Tácticas, técnicas y procedimientos (TTP) comunes de Akira:
- Acceso inicial: Explotación de vulnerabilidades en aplicaciones y servicios, phishing, credenciales robadas.
- Movimiento lateral: Uso de herramientas legítimas como PowerShell, Mimikatz y herramientas de administración remota para moverse por la red.
- Recopilación de información: Identificación de sistemas críticos y datos sensibles.
- Exfiltración de datos: Transferencia de datos robados a servidores controlados por los atacantes.
- Implementación del ransomware: Cifrado de archivos y sistemas para bloquear el acceso a los datos
Cadena de sucesos del ataque
A continuación se muestra diagrama que ilustra el ciclo de vida de un ataque de ransomware Akira
Análisis del ataque a la aerolínea
Vector de ataque inicial y movimiento lateral
Como mencionamos, el ataque comenzó con el compromiso de un servidor de respaldo Veeam a través de la vulnerabilidad CVE-2023-27532. Una vez dentro, los atacantes emplearon una serie de técnicas para moverse lateralmente por la red:
- Creación de cuentas: Crearon una cuenta de usuario con privilegios administrativos para consolidar su presencia en el sistema.
- Escaneo de la red: Utilizaron herramientas como Advanced IP Scanner para identificar otros dispositivos conectados a la red.
- Explotación de vulnerabilidades adicionales: Es posible que hayan explotado otras vulnerabilidades en los sistemas identificados para ampliar su acceso.
Recopilación y exfiltración de datos
La fase de recopilación de datos fue crucial para los atacantes. Utilizaron herramientas como WinSCP para transferir grandes volúmenes de datos a sus servidores de comando y control. Los datos exfiltrados incluían:
- Copias de seguridad: Se robaron las copias de seguridad de Veeam, que contenían una gran cantidad de información confidencial.
- Documentos: Se exfiltraron diversos documentos, incluyendo hojas de cálculo, presentaciones y correos electrónicos.
- Credenciales: Los atacantes buscaron activamente credenciales de acceso para obtener privilegios adicionales en la red.
Implementación del ransomware
Una vez que los atacantes habían recopilado suficiente información, procedieron a cifrar los sistemas de la víctima. Utilizaron el ransomware Akira para cifrar los archivos y hacerlos inaccesibles. Además, eliminaron las instantáneas de las copias de seguridad para dificultar la recuperación de los datos.
Infraestructura de red utilizada
Los atacantes utilizaron una infraestructura de red relativamente simple para llevar a cabo el ataque. Se identificó el uso de un dominio asociado con Remmina, un cliente de escritorio remoto de código abierto, lo que sugiere que al menos uno de los atacantes era usuario de Linux.
Herramientas empleadas
Los atacantes utilizaron una variedad de herramientas tanto legítimas como maliciosas, incluyendo:
- Herramientas de administración de sistemas: PowerShell, Mimikatz
- Herramientas de red: Advanced IP Scanner, WinSCP
- Herramientas de cifrado: Ransomware Akira
- Herramientas de acceso remoto: Remmina, AnyDesk
Impacto del ataque y consecuencias
Los ataques de ransomware como el de Akira pueden tener un impacto devastador en las organizaciones afectadas. Algunas de las consecuencias más comunes incluyen:
- Pérdida de datos: Los datos cifrados pueden ser irrecuperables, lo que puede llevar a la pérdida de información crítica para el negocio.
- Interrupción de las operaciones: Los sistemas cifrados pueden dejar a la organización sin capacidad para operar, lo que puede generar pérdidas financieras significativas.
- Daño a la reputación: Los ataques de ransomware pueden dañar la reputación de una organización, lo que puede llevar a la pérdida de clientes y confianza.
- Costos de recuperación: La recuperación de un ataque de ransomware puede ser costosa, incluyendo los costos de la respuesta a incidentes, la restauración de datos y la implementación de nuevas medidas de seguridad.
Recomendaciones para prevenir ataques similares
Para protegerse contra ataques de ransomware como el de Akira, las organizaciones deben implementar las siguientes medidas:
- Mantener los sistemas actualizados: Aplicar parches de seguridad de forma regular para corregir vulnerabilidades conocidas.
- Segmentar la red: Dividir la red en zonas de seguridad para limitar el impacto de una infección.
- Realizar copias de seguridad regulares: Realizar copias de seguridad de los datos de forma regular y almacenarlas en un lugar seguro y desconectado.
- Implementar una solución de seguridad de endpoint: Utilizar una solución de seguridad de endpoint que pueda detectar y bloquear malware.
- Capacitar a los empleados: Concientizar a los empleados sobre las amenazas cibernéticas y enseñarles a identificar y reportar posibles ataques.
- Contar con un plan de respuesta a incidentes: Desarrollar un plan detallado para responder a un incidente de ciberseguridad.
Tendencias y desafíos en ciberseguridad:
- Fortalecimiento del factor humano en la ciberseguridad: El factor humano sigue siendo una de las principales vulnerabilidades en la ciberseguridad, especialmente con el crecimiento del teletrabajo y la expansión de servicios en la nube. Es crucial mejorar la capacitación en ciberseguridad para empleados, con un enfoque en la concienciación sobre phishing, ingeniería social y la importancia del uso de autenticación multifactor (MFA) para proteger los sistemas.
- Ciberseguridad en el teletrabajo y la nube: El teletrabajo y el uso intensivo de la infraestructura en la nube (IaaS, PaaS, SaaS) han generado nuevas superficies de ataque, lo que exige políticas de seguridad más estrictas y soluciones como SD-WAN, Zero Trust y Seguridad como Servicio (SASE). Estos enfoques permiten una gestión de riesgos más granular y flexible, asegurando que solo usuarios y dispositivos autenticados puedan acceder a los recursos críticos.
- Protección de endpoints y redes móviles: A medida que el trabajo remoto prolifera, proteger los dispositivos finales (endpoints) es esencial. Los empleados usan múltiples dispositivos para acceder a recursos corporativos, lo que exige soluciones de Data Loss Prevention (DLP), cifrado de datos y la implementación de seguridad móvil. Estas medidas, junto con un monitoreo continuo de la seguridad, permiten prevenir fugas de información y ataques a la infraestructura.
- Copias de seguridad y respuesta ante ransomware: Las copias de seguridad robustas son una medida preventiva clave contra el ransomware, una de las mayores amenazas actuales. Tener estrategias de respuesta ante incidentes (IR) también es fundamental para minimizar los daños y la pérdida de datos en caso de un ataque exitoso.
- Cumplimiento normativo y privacidad de datos: Con regulaciones como NIS 2 y GDPR, las empresas deben cumplir con estándares más estrictos sobre privacidad y seguridad de datos. Implementar auditorías de seguridad regulares y prácticas de desarrollo seguro (DevSecOps) es crucial para asegurar que las organizaciones mantengan el cumplimiento de estas normativas.
- Inteligencia Artificial para la defensa cibernética: La IA no solo es una potencial amenaza, sino que también es una herramienta poderosa para la ciberseguridad. Las soluciones de IA pueden identificar patrones de comportamiento anómalos en la red, anticipar posibles amenazas antes de que se materialicen y automatizar respuestas a incidentes. Sin embargo, también debemos mitigar los riesgos inherentes a la IA, como los ataques adversariales que pueden comprometer la precisión y seguridad de los sistemas.
Nuevas tecnologías y metodologías emergentes:
- Zero Trust y SDN (Software-Defined Networking): El concepto de Zero Trust ha ganado mucha tracción en el ámbito empresarial. Asegura que nadie, dentro o fuera de la red, sea automáticamente confiable, limitando los accesos a los recursos de acuerdo a las políticas de seguridad. El uso de SDN permite una administración centralizada y automatizada de la red, lo que mejora su seguridad y reduce los tiempos de respuesta ante amenazas.
- Seguridad en la nube y SASE: Las empresas están adoptando cada vez más modelos de seguridad basados en la nube, como SASE, que combina las funciones de red y seguridad en un solo servicio en la nube. Esto simplifica la protección y facilita el acceso seguro a aplicaciones y datos corporativos desde cualquier lugar.
- Autenticación robusta y gestión de identidad (IAM): La implementación de soluciones de Gestión de Identidades y Accesos (IAM) es esencial para controlar quién tiene acceso a qué recursos y cuándo. Herramientas como MFA (Autenticación Multifactorial) y tecnologías avanzadas como la firma digital añaden una capa extra de protección contra el robo de credenciales y el acceso no autorizado.
- Defensa contra ataques DDoS y cifrado avanzado: Los ataques de denegación de servicio distribuido (DDoS) siguen siendo una amenaza constante. Contar con soluciones específicas para mitigar estos ataques, junto con el uso de cifrado avanzado, tanto en tránsito como en reposo, ayuda a proteger la confidencialidad e integridad de los datos.
- Análisis forense y pruebas de penetración: Las pruebas de penetración y el análisis forense digital son esenciales para identificar y corregir vulnerabilidades antes de que sean explotadas. Estas técnicas permiten a las organizaciones mejorar sus defensas y desarrollar planes de respuesta más efectivos.
¿Tienes dudas con la ciberseguridad de tu empresa? ¡Cibersafety podemos ayudarte!
En Cibersafety, entendemos la importancia de mantener la seguridad de tu empresa en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu empresa contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!