Akira: Desvelando el ataque de ransomware que paralizó una aerolínea y cómo protegerte

akira ransomware

Descubre cómo el grupo de ransomware Akira atacó a una aerolínea latinoamericana, exponiendo vulnerabilidades críticas y los métodos utilizados por los cibercriminales. Aprende cómo proteger tu organización de amenazas similares.

¿Qué es el ransomware Akira y cómo funciona?

Akira es una variante de ransomware como servicio (RaaS) desarrollada y operada por el grupo de amenazas cibernéticas Storm-1567. Este grupo es conocido por su enfoque en la extorsión, combinando el cifrado de datos con la filtración de información sensible para presionar a las víctimas a pagar un rescate.

Características clave de Akira:

  • Doble extorsión: Además de cifrar los datos, los atacantes amenazan con filtrar información robada si no se paga el rescate.
  • Abuso de herramientas legítimas: Akira utiliza herramientas de administración de sistemas legítimas para moverse lateralmente por la red y realizar sus actividades maliciosas.
  • Orientación a múltiples sectores: El grupo ha atacado una amplia variedad de industrias, incluyendo salud, manufactura y servicios financieros.
  • Variantes para diferentes sistemas operativos: Akira cuenta con variantes tanto para Windows como para Linux, lo que aumenta su capacidad de infectar diferentes tipos de sistemas.

Tácticas, técnicas y procedimientos (TTP) comunes de Akira:

  • Acceso inicial: Explotación de vulnerabilidades en aplicaciones y servicios, phishing, credenciales robadas.
  • Movimiento lateral: Uso de herramientas legítimas como PowerShell, Mimikatz y herramientas de administración remota para moverse por la red.
  • Recopilación de información: Identificación de sistemas críticos y datos sensibles.
  • Exfiltración de datos: Transferencia de datos robados a servidores controlados por los atacantes.
  • Implementación del ransomware: Cifrado de archivos y sistemas para bloquear el acceso a los datos

Cadena de sucesos del ataque

A continuación se muestra diagrama que ilustra el ciclo de vida de un ataque de ransomware Akira

Akira ransomware

Akira

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Análisis del ataque a la aerolínea

Vector de ataque inicial y movimiento lateral

Como mencionamos, el ataque comenzó con el compromiso de un servidor de respaldo Veeam a través de la vulnerabilidad CVE-2023-27532. Una vez dentro, los atacantes emplearon una serie de técnicas para moverse lateralmente por la red:

  • Creación de cuentas: Crearon una cuenta de usuario con privilegios administrativos para consolidar su presencia en el sistema.
  • Escaneo de la red: Utilizaron herramientas como Advanced IP Scanner para identificar otros dispositivos conectados a la red.
  • Explotación de vulnerabilidades adicionales: Es posible que hayan explotado otras vulnerabilidades en los sistemas identificados para ampliar su acceso.

Recopilación y exfiltración de datos

La fase de recopilación de datos fue crucial para los atacantes. Utilizaron herramientas como WinSCP para transferir grandes volúmenes de datos a sus servidores de comando y control. Los datos exfiltrados incluían:

  • Copias de seguridad: Se robaron las copias de seguridad de Veeam, que contenían una gran cantidad de información confidencial.
  • Documentos: Se exfiltraron diversos documentos, incluyendo hojas de cálculo, presentaciones y correos electrónicos.
  • Credenciales: Los atacantes buscaron activamente credenciales de acceso para obtener privilegios adicionales en la red.

Implementación del ransomware

Una vez que los atacantes habían recopilado suficiente información, procedieron a cifrar los sistemas de la víctima. Utilizaron el ransomware Akira para cifrar los archivos y hacerlos inaccesibles. Además, eliminaron las instantáneas de las copias de seguridad para dificultar la recuperación de los datos.

Infraestructura de red utilizada

Los atacantes utilizaron una infraestructura de red relativamente simple para llevar a cabo el ataque. Se identificó el uso de un dominio asociado con Remmina, un cliente de escritorio remoto de código abierto, lo que sugiere que al menos uno de los atacantes era usuario de Linux.

Herramientas empleadas

Los atacantes utilizaron una variedad de herramientas tanto legítimas como maliciosas, incluyendo:

  • Herramientas de administración de sistemas: PowerShell, Mimikatz
  • Herramientas de red: Advanced IP Scanner, WinSCP
  • Herramientas de cifrado: Ransomware Akira
  • Herramientas de acceso remoto: Remmina, AnyDesk

Impacto del ataque y consecuencias

Los ataques de ransomware como el de Akira pueden tener un impacto devastador en las organizaciones afectadas. Algunas de las consecuencias más comunes incluyen:

  • Pérdida de datos: Los datos cifrados pueden ser irrecuperables, lo que puede llevar a la pérdida de información crítica para el negocio.
  • Interrupción de las operaciones: Los sistemas cifrados pueden dejar a la organización sin capacidad para operar, lo que puede generar pérdidas financieras significativas.
  • Daño a la reputación: Los ataques de ransomware pueden dañar la reputación de una organización, lo que puede llevar a la pérdida de clientes y confianza.
  • Costos de recuperación: La recuperación de un ataque de ransomware puede ser costosa, incluyendo los costos de la respuesta a incidentes, la restauración de datos y la implementación de nuevas medidas de seguridad.

Recomendaciones para prevenir ataques similares

Para protegerse contra ataques de ransomware como el de Akira, las organizaciones deben implementar las siguientes medidas:

  • Mantener los sistemas actualizados: Aplicar parches de seguridad de forma regular para corregir vulnerabilidades conocidas.
  • Segmentar la red: Dividir la red en zonas de seguridad para limitar el impacto de una infección.
  • Realizar copias de seguridad regulares: Realizar copias de seguridad de los datos de forma regular y almacenarlas en un lugar seguro y desconectado.
  • Implementar una solución de seguridad de endpoint: Utilizar una solución de seguridad de endpoint que pueda detectar y bloquear malware.
  • Capacitar a los empleados: Concientizar a los empleados sobre las amenazas cibernéticas y enseñarles a identificar y reportar posibles ataques.
  • Contar con un plan de respuesta a incidentes: Desarrollar un plan detallado para responder a un incidente de ciberseguridad.

¿Tienes dudas con la ciberseguridad de tu empresa? ¡Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tu empresa en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu empresa contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!

CONTACTA CON NOSOTROS

¿Tienes dudas? Te las resolvemos

    Últimas entradas

    5 de octubre de 2024
    En un mundo cada vez más digital, muchas empresas han migrado sus aplicaciones a la nube para aprovechar sus beneficios en términos de escalabilidad, flexibilidad...
    4 de octubre de 2024
    La adopción de servicios en la nube ha transformado la manera en que las empresas operan. Microsoft 365 (M365) se ha posicionado como una de...
    3 de octubre de 2024
    El ransomware se ha convertido en una de las amenazas más graves para las empresas en el mundo digital actual. Según el Informe de investigación...

    SESIÓN DE CONSULTORÍA

    Solicita una sesión de consultoría GRATIS

      GUÍAS

      Consigue la guía definitiva de Ciberseguridad para proteger empresas GRATIS

        guías

        Consigue la guía definitiva de Ciberseguridad para empresas del sector turístico GRATIS

          SESIÓN DE CONSULTORÍA

          Consigue la guía definitiva para implementar la normativa NIS2 en empresas GRATIS