Detección del Ransomware Akira: La Asesoría Conjunta de Ciberseguridad (CSA) AA24-109A Destaca Ataques Dirigidos a Empresas e Infraestructura Crítica en América del Norte, Europa y Australia
Tabla de contenidos:
El FBI y CISA, en conjunto con EE.UU. y las principales agencias internacionales de ciberseguridad, han emitido recientemente un aviso conjunto AA24-109A advirtiendo a los defensores de un aumento en los ciberataques aprovechando el ransomware Akira. Según investigaciones, las campañas maliciosas relacionadas han afectado a más de 250 organizaciones y han reclamado alrededor de $42 millones en pagos de rescate.
Detectar Ataques de Ransomware Akira
Escalada de ransomware las amenazas desafían continuamente a los defensores cibernéticos con nuevos métodos de ataque y trucos maliciosos, moldeando la demanda de herramientas avanzadas de detección de amenazas y caza proactiva para resistir posibles intrusiones. La plataforma de SOC Prime equipa a los equipos de seguridad con una suite completa de productos para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación del Stack de Detección para escalar la defensa cibernética y asegurar que ningún ataque cibernético pase desapercibido.
Con el incremento del ransomware Akira, los profesionales de seguridad podrían explorar un conjunto de reglas Sigma curadas que ayudan a acelerar la investigación de caza de amenazas. Todas las reglas son compatibles con 28 tecnologías SIEM, EDR, y Data Lake y están mapeadas al marco MITRE ATT&CK®. Además, cada algoritmo de detección se enriquece con intel de amenazas relevantes y metadatos extensos para proporcionar contexto adicional. Solo presiona el Explorar Detecciones botón abajo e inmediatamente profundiza en una lista de contenido dedicada.
Además, los profesionales de seguridad pueden buscar detecciones relevantes directamente en la Plataforma SOC Prime usando las etiquetas “AA24-109A” y “Ransomware Akira”.
Análisis de Ataque de Ransomware Akira
El 18 de abril de 2024, el FBI, CISA, y socios globales emitieron un Aviso de Ciberseguridad (CSA) colaborativo para informar y distribuir IOCs y TTPs conocidos vinculados a los crecientes ataques por operadores de ransomware Akira. Esta información se deriva de investigaciones del FBI y fuentes de terceros creíbles, con actualizaciones tan recientes como febrero de 2024.
Desde principios de la primavera de 2023, el ransomware Akira ha golpeado múltiples negocios, incluido el sector de infraestructura crítica en EE.UU., Europa y Australia, afectando a más de 250 organizaciones. Los adversarios emplearon una iteración de Linux dirigida a máquinas virtuales VMware ESXi después de afectar inicialmente sistemas Windows. Mientras que las primeras variantes del ransomware Akira fueron codificadas en el lenguaje de programación C++ y se basaron en la extensión .akira, a finales del verano de 2023, los actores de amenazas de Akira evolucionaron su conjunto de herramientas ofensivas utilizando Megazord, una variante basada en Rust que utiliza cifrado de archivos basado en una extensión .powerranges.
Para obtener acceso inicial a los sistemas objetivo, los mantenedores del ransomware Akira comúnmente aprovechan las fallas de seguridad en los servicios VPN que carecen de configuraciones MFA, aprovechando principalmente las vulnerabilidades conocidas de Cisco, CVE-2020-3259 y CVE-2023-20269. Otros vectores de acceso inicial implican la explotación de servicios expuestos como RDP, ataques de spear-phishing, y el abuso de credenciales legítimas.
Además, los actores de amenazas de Akira tienden a explotar controladores de dominio generando nuevas cuentas de dominio para la persistencia. También aprovechan técnicas de post-explotación como Kerberoasting para extraer credenciales de la memoria de LSASS y emplean herramientas de raspado de credenciales, como Mimikatz y LaZagne para escalada de privilegios. Además, los adversarios aplican utilidades como SoftPerfect y Advanced IP Scanner para el descubrimiento de dispositivos en la red, mientras que net se utilizan comandos de Windows para identificar controladores de dominio y recopilar información de relaciones de confianza de dominio.
Los ataques de Akira también se han distinguido por el despliegue de dos variantes de ransomware separadas que apuntan a arquitecturas de sistema diversas dentro de una sola intrusión, lo que destaca un cambio con respecto a la actividad maliciosa observada recientemente. Inicialmente, los actores de amenazas de Akira desplegaron el ransomware Megazord basado en Windows e introdujeron simultáneamente un segundo payload identificado como la nueva variante Akira ESXi encryptor apodada «Akira_v2». Para facilitar el movimiento lateral, los adversarios deshabilitan el software de seguridad para evadir la detección. También se ha observado que abusan de PowerTool para explotar el controlador Zemana AntiMalware y obstaculizar los procesos anti-malware.
En cuanto al kit de herramientas del adversario que facilita la exfiltración y el impacto, los mantenedores del ransomware Akira aplican FileZilla, WinRAR, WinSCP, y RClone para robar datos de los sistemas comprometidos y aprovechan un conjunto de utilidades como AnyDesk, MobaXterm, RustDesk, o Ngrok para establecer canales C2. Los adversarios también emplean un modelo de doble extorsión, cifrando sistemas después de la exfiltración de datos. Los actores de amenazas de Akira comúnmente exigen pagos de rescate en Bitcoin a direcciones de monederos crypto y amenazan además con publicar los datos robados en la red Tor.
Para minimizar los riesgos de los ataques de Akira, se recomienda encarecidamente a las organizaciones implementar múltiples capas de protección de seguridad, incluyendo segmentación de red, aplicación de autenticación multifactor, parcheo regular, monitoreo continuo de actividad sospechosa y mantenimiento de copias de seguridad offline.
El creciente número de ataques de ransomware, junto con su creciente sofisticación y kits de herramientas ofensivas continuamente mejorados, subraya la necesidad de minimizar la exposición de las organizaciones a tales amenazas mediante la implementación de una estrategia de defensa cibernética proactiva. Aprovechando el Attack Detective de SOC Prime permite a los defensores confiar en la validación automatizada del stack de detección para obtener visibilidad en tiempo real del área de ataque, identificar a tiempo y abordar los puntos ciegos en la cobertura de detección, y encontrar violaciones antes de que los adversarios tengan la oportunidad de atacar.
