El Grupo de Ransomware Akira Está en Auge: Hackers Apuntan a la Industria Aeronáutica en LATAM
Tabla de contenidos:
Investigadores de ciberseguridad han observado recientemente un nuevo ciberataque a una aerolínea latinoamericana aprovechando el ransomware Akira. Los atacantes aprovecharon el protocolo SSH para el acceso inicial y mantuvieron el reconocimiento y la persistencia utilizando herramientas legítimas y Living off-the-Land Binaries and Scripts (LOLBAS). Notablemente, antes de desplegar el ransomware, los hackers lograron exfiltrar con éxito datos críticos.
Detección de Ataques de Ransomware Akira
La comunidad de ciberseguridad enfrenta un gran desafío causado por la creciente amenaza de los grupos de ransomware de alto perfil. Según el Informe de Ransomware Q1 2024 de Corvus Insurance, los ataques de ransomware globales establecieron un récord sin precedentes, superando el 2022 en casi un 70%.
El grupo de ransomware Akira ha sido uno de los colectivos más activos durante el último año, compartiendo el primer puesto con LockBit, , BlackCat, Clop y otros actores infames. Los últimos informes de noticias destacan que Akira está detrás del ataque contra la principal aerolínea LATAM, así como, Clop, and other infamous actors. The latest news reports highlight that Akira stands behind the attack against the major LATAM airline, as well as la interrupción en el aeropuerto de Split en Croacia, y las campañas contra varias empresas importantes dentro de los EE. UU.
Para ayudar a los defensores cibernéticos a estar al tanto de las intrusiones vinculadas al ransomware Akira, la Plataforma SOC Prime para defensa cibernética colectiva ofrece un conjunto de contenido seleccionado que aborda las TTPs aplicadas durante el ataque a la aerolínea LATAM. Simplemente presione elbotón Explorar Detecciones a continuación para profundizar inmediatamente en una lista de contenido dedicado.
Todas las reglas son compatibles con más de 30 tecnologías de SIEM, EDR y Data Lake y están mapeadas al marco de MITRE ATT&CK®. Además, las detecciones están enriquecidas con metadatos extensos, incluidas referencias CTI, líneas de tiempo de ataque y recomendaciones de triaje, para facilitar la investigación de amenazas.
Los defensores cibernéticos que buscan más contenido de detección que aborde los patrones de ataque de Akira pueden buscar en el Mercado de Detección de Amenazas usando una etiqueta personalizada “Akira” o simplemente seguir este enlace para acceder a una amplia colección de reglas Sigma relevantes vinculadas a la actividad maliciosa del grupo.
Descripción de la Campaña de Ransomware Akira
Según la investigación del BlackBerry Research and Intelligence Team, los mantenedores del ransomware Akira aprovecharon un enfoque sofisticado para obtener acceso a la infraestructura de la aerolínea LATAM, exfiltrar datos sensibles y depositar la carga útil de Akira en la red infectada.
Los adversarios obtuvieron acceso inicial a la red usando el protocolo SSH y exfiltraron con éxito datos críticos antes de desplegar la muestra de ransomware Akira al día siguiente. Durante la cadena de infección, los atacantes explotaron varias herramientas legítimas, incluyendo LOLBAS, lo que les dio luz verde para realizar reconocimiento y mantener persistencia en el entorno comprometido.
Después de exfiltrar datos con éxito, los atacantes desplegaron el ransomware para cifrar e inhabilitar los sistemas de la víctima. Además de apuntar principalmente a sistemas Windows, los afiliados del ransomware Akira también dependen de variantes para Linux, incluida la para máquinas virtuales VMware ESXi. En el último ataque, los mantenedores del ransomware Akira podrían estar asociados con usuarios basados en Linux debido a indicadores como consultas DNS a un dominio vinculado a Remmina, un cliente de escritorio remoto de código abierto. En esta campaña ofensiva dirigida a una aerolínea latinoamericana, los atacantes explotaron un servidor de respaldo Veeam sin parchear al usar una vulnerabilidad CVE-2023-27532. En ataques anteriores, los operadores de Akira infiltraron sistemas al abusar de otras vulnerabilidades y fallas de día cero, incluidas CVE-2020-3259 y CVE-2023-20269.
Akira ha estado activo desde principios de primavera de 2023, operando como un RaaS y utilizado por el notorio grupo de hackers Storm-1567 (también conocido como Punk Spider y GOLD SAHARA). El grupo está detrás del desarrollo y mantenimiento del ransomware Akira junto con los sitios dedicados a filtraciones.
Los mantenedores del ransomware Akira a menudo aprovechan las tácticas de doble extorsión, exfiltrando datos sensibles antes de desplegar el ransomware, con el último ataque siguiendo el mismo patrón de comportamiento. Esta estrategia presiona a las víctimas a pagar rápidamente, ya que corren el riesgo de la exposición pública de sus datos robados.
Las TTPs clave asociadas con el ransomware Akira incluyen el abuso de software legítimo como herramientas de prueba de penetración de código abierto y la explotación de vulnerabilidades en sistemas obsoletos o sin parchear, incluido el software VPN. El grupo Akira ha atacado varios sectores industriales, apuntando a empresas e infraestructura crítica en todo el mundo. En abril de 2024, el FBI y la CISA, junto con las principales autoridades de ciberseguridad, emitieron un CSA conjunto para distribuir IOCs y TTPs conocidos vinculados a loscrecientes ataques de los mantenedores de ransomware Akira, junto con recomendaciones y mitigaciones para minimizarlos riesgos de intrusiones.
La continua escalada de amenazas de ransomware desafía consistentemente a los defensores de ciberseguridad con nuevas técnicas de ataque y tácticas maliciosas, aumentando la necesidad de herramientas avanzadas de detección y caza de amenazas para contrarrestar proactivamente posibles intrusiones. El ataque a una aerolínea latinoamericana vinculado a los mantenedores del ransomware Akira motivados financieramente subraya la disposición del adversario para apuntar a organizaciones en varias regiones, especialmente aquellas con vulnerabilidades sin parchear, lo que anima a las organizaciones globales a buscar formas innovadoras de fortalecer su postura cibernética con el respaldo de la experiencia colectiva de la industria. La suite completa de productos de SOC Prime para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación del Stack de Detección equipa a los equipos de seguridad con una solución viable que permite la defensa cibernética colectiva contra ciberataques de cualquier escala y sofisticación.
