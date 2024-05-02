Este artículo ha sido posible gracias a las contribuciones de Aaron Gdanski.
Los equipos de IBM X-Force Incident Response and Threat Intelligence han investigado varios ataques del ransomware Akira desde que este grupo de actores de amenazas apareció en marzo de 2023. Este blog compartirá la perspectiva única de X-Force sobre Akira obtenida al observar a los actores de amenazas detrás de este ransomware, incluidos los comandos utilizados para implementar el ransomware, la explotación activa de CVE-2023-20269 y el análisis del binario del ransomware.
El grupo de ransomware Akira ha ganado notoriedad en el panorama actual de la ciberseguridad, como lo subraya la reciente Advertencia de ciberseguridad de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sobre el grupo y los cientos de víctimas que los autores del ransomware Akira han reclamado en múltiples sectores y geografías.
Los actores de amenazas de Akira emplean un esquema de doble extorsión que implica tanto la exfiltración de datos como el cifrado en toda la empresa. Las filiales de Akira exigen un pago de rescate para evitar que el grupo publique archivos en su sitio onion y reciba una clave de descifrado para recuperar los archivos afectados. El nombre del grupo parece alusión a la trama de una película de anime de 1988 con el mismo nombre.
Boletín del sector
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Los actores del ransomware Akira han implementado dos sitios en la dark web, ambos son ubicaciones .onion mencionadas en la nota de rescate dejada por Akira después de cada ataque. Los sitios están estilizados de una manera que se remonta a ARPANET a principios de la década de 1980.
El primer sitio incluye información general sobre el grupo de ransomware, anuncia registros robados de las víctimas del grupo, incluye noticias sobre posibles divulgaciones de datos e identifica formas de ponerse en contacto con el grupo.
Figura 1: Dark web .onion de Akira ransomware dedicado a denunciar públicamente a las víctimas (Fuente: investigación sobre la dark web de X-Force)
El segundo sitio se utiliza para las negociaciones. Para acceder a este sitio, el usuario debe introducir una contraseña incluida en la nota de rescate como identificador único.
Figura 2: Portal de negociaciones del ransomware Akira en la dark web .onion (Fuente: investigación sobre la dark web de X-Force)
Tras acceder, el portal de negociación muestra un mensaje en el que se le dice a la víctima que el grupo Akira está preparando una muestra de datos robados de la organización víctima. Este proceso puede ser manual para el actor de amenazas, en función de la cantidad de tiempo que parezca llevar. Una vez listo, el grupo de amenazas adjuntará un archivo que incluye una lista de carpetas y archivos exfiltrados durante la operación en un esfuerzo por demostrar a la víctima que los actores de Akira robaron archivos auténticos antes de que se produjera el cifrado.
Figura 3: Chat de soporte de Akira dentro del portal de negociaciones de la dark web (Fuente: Lab539)
Tras la divulgación de la CVE-2023-20269 a principios de septiembre de 2023, los actores de amenazas del ransomware de Akira han explotado ampliamente esta vulnerabilidad en el medio silvestre. CVE-2023-20269 afecta a las características de red privada virtual (VPN) de Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), lo que permite a atacantes remotos no autorizados realizar ataques de fuerza bruta contra cuentas existentes.
Tras el acceso inicial, el grupo emplea una variedad de herramientas y malware para el reconocimiento, la exfiltración de datos, el movimiento lateral y scripts especialmente diseñados para propagar el binario del ransomware por la red.
Desplácese para ver la tabla completa
Figura 4: Conjunto de herramientas utilizadas por los actores del ransomware Akira (Fuente: X-Force)
A diferencia de algunas familias de ransomware con módulos de comportamiento de gusanos para la propagación o replicación sin interacción humana, el ransomware Akira requiere un procedimiento activo para propagar la infección dentro de las redes. Las opciones comunes son el uso de políticas de controlador de dominio si el actor de amenazas ha alcanzado este nivel de acceso o el uso de características integradas en el binario Akira activadas por scripts por lotes o bash.
X-Force ha observado que los actores del ransomware Akira utilizan scripts por lotes con el siguiente patrón después de completar las actividades de reconocimiento:
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
El binario del ransomware Akira crea un archivo de texto ubicado en el directorio actual donde tuvo lugar la ejecución.
IBM X-Force ha analizado los binarios de Windows y Linux para detectar el ransomware Akira. Las versiones para Linux y Windows de Akira funcionan de manera similar, con la principal diferencia de las bibliotecas utilizadas para admitir operaciones criptográficas. Akira añade .akira al nombre de archivo de los archivos cifrados y deja una nota de rescate en cada directorio donde se cifran los archivos. La nota de rescate contiene un enlace TOR y un código que la víctima puede utilizar para iniciar sesión en un sistema de chat para negociar el rescate.
En un caso, el archivo de ransomware de Akira se compiló a finales de diciembre de 2023, concretamente el 28 de diciembre de 2023 a las 14:49:57 UTC, y se desarrolló en C++.
Figura 5: Marca de fecha y hora para la compilación del ransomware Akira: 28 de diciembre de 2023 (Fuente: X-Force)
Tras su ejecución, el ransomware Akira creará un archivo de registro en el directorio actual. El nombre del archivo de registro se basa en la hora local actual del sistema, con el siguiente formato: "Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt". Si se produce un error durante la encriptación de un archivo, Akira escribirá un mensaje de error en el archivo de registro. La información adicional relativa a los parámetros de la línea de comandos del programa también se escribe en el archivo de registro. Una vez creado el archivo de registro, Akira comenzará a analizar los argumentos de su línea de comandos. La versión para Windows de Akira acepta los siguientes argumentos de línea de comandos:
Desplácese para ver la tabla completa
Figura 6: Argumentos de la línea de comandos utilizados por el ransomware Akira (Fuente: X-Force)
Una vez analizados los argumentos de la línea de comandos, Akira eliminará todas las instantáneas mediante el comando PowerShell: "powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””. Este comando se ejecuta utilizando objetos del Modelo de objetos componentes (COM) para evitar la detección. Además, Akira puede intentar eliminar procesos con los siguientes nombres:
Desplácese para ver la tabla completa
Figura 7: Procesos que el ransomware Akira intenta eliminar (Fuente: X-Force)
Una vez que se eliminen estos procesos, Akira comenzará el cifrado. Los archivos se cifran con ChaCha20 o KCipher-2. Los archivos de más de 2 MB se cifrarán en bloques, mientras que los archivos más pequeños se cifrarán en función del porcentaje de cifrado proporcionado en los argumentos de la línea de comandos. De forma predeterminada, el 50 % de todos los archivos de menos de 2 MB están cifrados. A cada archivo cifrado se le da una extensión .akira. Akira no cifrará archivos con ninguna de las siguientes extensiones:
La versión Linux de Akira utiliza la misma lista de directorios y extensiones de archivos que la versión Windows que utiliza para filtrar los archivos objetivo aunque se encuentren en sistemas Windows en lugar de Linux. Akira no cifrará ningún archivo dentro de las siguientes carpetas:
Las organizaciones pueden tomar varias medidas para reforzar las defensas contra el ransomware Akira. Aunque no existe un enfoque garantizado para prevenir un ataque de ransomware, incluso por parte de actores de amenazas de Akira, implementar estas medidas puede dificultar que los atacantes de Akira empleen sus técnicas preferidas:
Además de lo anterior, X-Force recomienda aprovechar las acciones proactivas y correctivas proporcionadas por CISA en su informe del 18 de abril.
Para saber cómo IBM X-Force puede ayudarle con cualquier asunto relacionado con la ciberseguridad, incluyendo respuesta a incidentes, inteligencia de amenazas o servicios de seguridad ofensiva, programe una reunión aquí.
Si está experimentando problemas de ciberseguridad o un incidente, contacte con X-Force para obtener auyuda: Línea directa de EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.
Desplácese para ver la tabla completa