SOC Prime Bias: Alto

24 Nov 2025 19:49
newspaper icon AttackIQ

Ransomware Akira: Respuesta al Aviso de CISA AA24-109A

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Ransomware Akira: Respuesta al Aviso de CISA AA24-109A
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Akira Ransomware: Respuesta al Aviso de CISA AA24-109A RESUMEN

El aviso perfila la operación de ransomware Akira, una amenaza de Ransomware-as-a-Service (RaaS) que cifra los datos de las víctimas y los exfiltra antes del cifrado. Observado por primera vez en marzo de 2023, Akira rápidamente ganó notoriedad y se cree que comparte linaje de código con la familia de ransomware Conti. El documento detalla las tácticas, técnicas y procedimientos del grupo, incluyendo ataques de fuerza bruta contra RDP, volcado de credenciales y depender de un portal de filtración alojado en TOR. Las víctimas suelen ser presionadas para pagar ya sea por claves de descifrado o por la promesa de eliminar los datos robados.

Investigación

Una investigación coordinada por CISA, el FBI, NCSC-NL y varios socios de la ley europea actualizó el perfil de la amenaza Akira hasta noviembre de 2025. Los hallazgos técnicos destacan la persistencia a través de la creación de nuevas cuentas locales, un amplio reconocimiento utilizando las API nativas de Windows y el uso de utilidades de robo de credenciales como Mimikatz, LaZagne y Rubeus. El cifrado de archivos se implementa con el algoritmo ChaCha20, con claves protegidas mediante RSA-4096.

Mitigación del Ransomware Akira

Las prioridades defensivas incluyen fortalecer las credenciales de RDP, monitorear la creación inusual de cuentas y actividad de enumeración de privilegios, y bloquear herramientas ofensivas comúnmente abusadas. Las organizaciones deben mantener copias de seguridad regulares y probadas, deshabilitar servicios no esenciales y desplegar controles basados en el host para prevenir el volcado de memoria LSASS. Salvaguardas adicionales implican filtrar tráfico TOR en el borde de la red y rastrear potenciales exfiltraciones de datos hacia infraestructura .onion.

Respuesta

Cuando se sospecha actividad de Akira, inmediatamente ponga en cuarentena el host afectado, adquiera imágenes de memoria y disco, y preserve todos los indicadores relevantes de compromiso. Restablezca las credenciales expuestas, elimine las cuentas no autorizadas y restaure los sistemas desde copias de seguridad confiables y verificadas. Una revisión forense exhaustiva debe trazar las rutas de movimiento lateral y puntos de pivote, con resultados reportados a las autoridades apropiadas y socios de intercambio de información.

mermaid graph TB %% Class Definitions classDef technique fill:#e6f5ff %% Nodes – Techniques tech_bruteforce[«<b>Técnica</b> – <b>T1110.004 Fuerza Bruta – Relleno de Credenciales</b><br /><b>Descripción</b>: El atacante intenta iniciar sesión utilizando un gran número de credenciales previamente comprometidas a través de un servicio remoto.»] class tech_bruteforce technique tech_rdp[«<b>Técnica</b> – <b>T1021.001 Servicios Remotos: RDP</b><br /><b>Descripción</b>: Uso del Protocolo de Escritorio Remoto para establecer una sesión interactiva remota.»] class tech_rdp technique tech_createacct[«<b>Técnica</b> – <b>T1136.001 Crear Cuenta: Cuenta Local</b><br /><b>Descripción</b>: El adversario crea una nueva cuenta de usuario local para persistencia o escalamiento de privilegios.»] class tech_createacct technique tech_localgroup[«<b>Técnica</b> – <b>T1069.001 Descubrimiento de Grupos de Permisos: Grupos Locales</b><br /><b>Descripción</b>: Enumera miembros de grupos locales para identificar cuentas privilegiadas.»] class tech_localgroup technique tech_domaingroup[«<b>Técnica</b> – <b>T1069.002 Descubrimiento de Grupos de Permisos: Grupos de Dominio</b><br /><b>Descripción</b>: Enumera miembros de grupos de dominio para localizar grupos privilegiados adicionales.»] class tech_domaingroup technique tech_processdisc[«<b>Técnica</b> – <b>T1057 Descubrimiento de Procesos</b><br /><b>Descripción</b>: Utiliza utilidades como tasklist para listar procesos en ejecución en el host.»] class tech_processdisc technique tech_remotesysdisc[«<b>Técnica</b> – <b>T1018 Descubrimiento de Sistema Remoto</b><br /><b>Descripción</b>: Identifica sistemas remotos, por ejemplo, controladores de dominio, utilizando herramientas como nltest.»] class tech_remotesysdisc technique tech_trustdisc[«<b>Técnica</b> – <b>T1482 Descubrimiento de Confianza de Dominio</b><br /><b>Descripción</b>: Consulta relaciones de confianza de dominio usando nltest trusted_domains.»] class tech_trustdisc technique tech_kerberoast[«<b>Técnica</b> – <b>T1558.003 Kerberoasting</b><br /><b>Descripción</b>: Extrae boletos de servicio y los descifra fuera de línea, a menudo con herramientas como Rubeus.»] class tech_kerberoast technique tech_lsassdump[«<b>Técnica</b> – <b>T1003.001 Volcado de Credenciales de OS</b><br /><b>Descripción</b>: Realiza un volcado de la memoria de LSASS a través de comsvcs.dll y Mimikatz para obtener credenciales en texto claro.»] class tech_lsassdump technique tech_regdump[«<b>Técnica</b> – <b>T1003.002 Volcado del Registro</b><br /><b>Descripción</b>: Guarda el registro SYSTEM (por ejemplo, usando reg save) para análisis fuera de línea.»] class tech_regdump technique tech_wmiexec[«<b>Técnica</b> – <b>T1047 Instrumentación de Administración de Windows</b><br /><b>Descripción</b>: Ejecuta comandos de forma remota a través de WMI, comúnmente usando utilidades como wmiexec.»] class tech_wmiexec technique tech_rdp_lateral[«<b>Técnica</b> – <b>T1021.001 Servicios Remotos: RDP (Lateral)</b><br /><b>Descripción</b>: Se desplaza lateralmente a hosts adicionales a través de conexiones de Protocolo de Escritorio Remoto.»] class tech_rdp_lateral technique tech_ssh[«<b>Técnica</b> – <b>T1021.004 Servicios Remotos: SSH</b><br /><b>Descripción</b>: Recurre a Secure Shell para el movimiento lateral cuando RDP no está disponible.»] class tech_ssh technique tech_sysinfo[«<b>Técnica</b> – <b>T1082 Descubrimiento de Información del Sistema</b><br /><b>Descripción</b>: Recolecta detalles del sistema operativo y hardware utilizando comandos como GetSystemInfo.»] class tech_sysinfo technique tech_queryreg[«<b>Técnica</b> – <b>T1012 Consulta del Registro</b><br /><b>Descripción</b>: Lee valores del registro como MachineGUID para identificar de manera única el host.»] class tech_queryreg technique tech_filedisc[«<b>Técnica</b> – <b>T1083 Descubrimiento de Archivos y Directorios</b><br /><b>Descripción</b>: Enumera archivos y directorios utilizando llamadas a las APIs FindFirstFile/FindNextFile.»] class tech_filedisc technique tech_logdrive[«<b>Técnica</b> – <b>T1680 Descubrimiento de Unidades Lógicas</b><br /><b>Descripción</b>: Recupera letras y tipos de unidades lógicas a través de GetLogicalDriveStringsW y GetDriveTypeW.»] class tech_logdrive technique tech_permmod[«<b>Técnica</b> – <b>T1222.001 Modificación de Permisos de Archivos y Directorios</b><br /><b>Descripción</b>: Cambia ACLs en archivos o directorios usando icacls para permitir más acceso.»] class tech_permmod technique tech_inhibitrec[«<b>Técnica</b> – <b>T1490 Inhibir Recuperación del Sistema</b><br /><b>Descripción</b>: Elimina copias de seguridad de Volumen mediante WMI para evitar la restauración.»] class tech_inhibitrec technique tech_encrypt[«<b>Técnica</b> – <b>T1486 Datos Cifrados para Impacto</b><br /><b>Descripción</b>: Cifra datos de la víctima utilizando cifrado simétrico ChaCha20 y RSA-4096 para protección de claves.»] class tech_encrypt technique %% Connections – Flujo de Ataque tech_bruteforce u002du002d>|conduce_a| tech_rdp tech_rdp u002du002d>|conduce_a| tech_createacct tech_createacct u002du002d>|conduce_a| tech_localgroup tech_localgroup u002du002d>|conduce_a| tech_domaingroup tech_domaingroup u002du002d>|conduce_a| tech_processdisc tech_processdisc u002du002d>|conduce_a| tech_remotesysdisc tech_remotesysdisc u002du002d>|conduce_a| tech_trustdisc tech_trustdisc u002du002d>|conduce_a| tech_kerberoast tech_kerberoast u002du002d>|conduce_a| tech_lsassdump tech_lsassdump u002du002d>|conduce_a| tech_regdump tech_regdump u002du002d>|conduce_a| tech_wmiexec tech_wmiexec u002du002d>|conduce_a| tech_rdp_lateral tech_rdp_lateral u002du002d>|conduce_a| tech_ssh tech_ssh u002du002d>|conduce_a| tech_sysinfo tech_sysinfo u002du002d>|conduce_a| tech_queryreg tech_queryreg u002du002d>|conduce_a| tech_filedisc tech_filedisc u002du002d>|conduce_a| tech_logdrive tech_logdrive u002du002d>|conduce_a| tech_permmod tech_permmod u002du002d>|conduce_a| tech_inhibitrec tech_inhibitrec u002du002d>|conduce_a| tech_encrypt

Flujo de Ataque

Ejecución de la Simulación

Requisito: La Verificación de Telemetría y Línea de Base debe haberse completado con éxito.

Justificación: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa reflejan directamente los TTPs identificados y generan la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    El operador de ransomware se prepara para cifrar un directorio de documentos de usuario. Primero, aseguran que los archivos sean completamente accesibles al proceso de ransomware otorgandoTodoscontrol total usandoicacls.exe. Este es un paso clásico de “conceder acceso completo antes de cifrar”, coincidiendo con la técnica MITRET1222.001. El atacante ejecuta el comando desde un contexto de bajos privilegios pero confía en el hecho de queicacls.exepuede modificar ACLs si el proceso tiene permisos suficientes (por ejemplo, ejecutándose como SYSTEM mediante una tarea programada).

    # Ruta al directorio objetivo
$target = "C:UsersPublicDocumentsDatosSensibles"

# Otorgar recursivamente control total a Todos
icacls.exe "$target*" /grant *S-1-1-0:F /T /C

    El comando anterior crea un evento Sysmon ProcessCreate dondeImagentermina conicacls.exe, cumpliendo con la regla de detección.

  • Script de Prueba de Regresión:

    # ---------------------------------------------------------------
# Prueba de Regresión – Modificación de Permisos Icacls (T1222.001)
# ---------------------------------------------------------------
# Crear un directorio de prueba temporal
$testDir = "$env:TEMPIcaclsTest"
New-Item -Path $testDir -ItemType Directory -Force | Out-Null

# Rellenar con archivos de prueba
1..5 | ForEach-Object {
    New-Item -Path "$testDirFile$_ .txt" -ItemType File -Force | Out-Null
}

# Ejecutar icacls para otorgar a Todos control total (esto debería activar la regla)
icacls.exe "$testDir*" /grant *S-1-1-0:F /T /C

# Pausar para permitir la ingestión de SIEM
Start-Sleep -Seconds 10

# Fin del script

  • Comandos de Limpieza:

    # ---------------------------------------------------------------
# Limpieza – Quitar cambios de ACL de prueba y eliminar datos de prueba
# ---------------------------------------------------------------
$testDir = "$env:TEMPIcaclsTest"

# Restablecer permisos a los predeterminados (quitar el otorgamiento a Todos)
icacls.exe "$testDir*" /reset /T /C

# Eliminar el directorio de prueba
Remove-Item -Path $testDir -Recurse -Force

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis