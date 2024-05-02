Este artículo fue posible gracias a las contribuciones de Aaron Gdanski.
Los equipos de IBM X-Force Incident Response y inteligencia de amenazas han investigado varios ataques de Akira ransomware desde que este actor de amenazas surgió en marzo de 2023. Este blog compartirá la perspectiva única de X-Force sobre Akira obtenida al observar a los actores de amenazas detrás de este ransomware, incluidos los comandos utilizados para desplegar el ransomware, la explotación activa de CVE-2023-20269 y el análisis del binario de ransomware.
El grupo de ransomware Akira ha ganado notoriedad en el ámbito actual de la ciberseguridad, subrayado por el reciente aviso de ciberseguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) sobre el grupo y los cientos de víctimas que los actores del ransomware Akira se han cobrado en múltiples industrias y geografías.
Los actores de amenazas de Akira emplean un esquema de doble extorsión que implica tanto la exfiltración de datos como el cifrado en toda la empresa. Las filiales de Akira exigen un pago de rescate para evitar que el grupo publique archivos en su sitio onion y reciba una clave de descifrado para recuperar los archivos afectados. El nombre del grupo parece alusión a la trama de una película de anime de 1988 con el mismo nombre.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Los actores del ransomware Akira han desplegado dos sitios en la dark web: ambos son ubicaciones .onion mencionadas en la nota de rescate dejada por Akira después de cada ataque. Los sitios están estilizados de una manera que se remonta a ARPANET a principios de la década de 1980.
El primer sitio incluye información general sobre el grupo de ransomware, anuncia registros robados de las víctimas del grupo, incluye noticias sobre posibles liberaciones de datos e identifica formas de contactar al grupo.
Figura 1: Akira ransomware .onion sitio web de denuncia pública en la dark web (Fuente: Investigación de X-Force sobre la dark web)
El segundo sitio se utiliza para las negociaciones. Para acceder a este sitio, un usuario debe ingresar una contraseña incluida en la nota de rescate como identificador único.
Figura 2: Portal de negociaciones de Akira ransomware .onion en la dark web (Fuente: X-Force dark web research)
Después de obtener acceso, el portal de negociación muestra un mensaje que le dice a la víctima que el grupo Akira está preparando una muestra de datos robados de la organización víctima. Este proceso puede ser manual para el actor de amenazas, en función de la cantidad de tiempo que parece llevar. Una vez listo, el grupo de amenazas adjuntará un archivo que incluye una lista de carpetas y archivos exfiltrados durante la operación en un esfuerzo por demostrar a la víctima que los actores de Akira robaron archivos auténticos antes de que ocurra el cifrado.
Figura 3: Chat de asistencia de Akira dentro del portal de negociaciones de la dark web (Fuente: Lab539)
Tras la divulgación de CVE-2023-20269 a principios de septiembre de 2023, los actores de amenazas del ransomware Akira han explotado ampliamente esta vulnerabilidad en el mundo real. CVE-2023-20269 afecta las características de red privada virtual (VPN) de Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), lo que permite a atacantes remotos no autorizados realizar ataques de fuerza bruta contra cuentas existentes.
Después del acceso inicial, el grupo emplea una variedad de herramientas y malware para reconocimiento, exfiltración de datos, movimiento lateral y scripts especialmente diseñados para propagar el binario de ransomware por la red.
Desplazar para ver la tabla completa
Figura 4: Suite de herramientas utilizadas por los actores del ransomware Akira (Fuente: X-Force)
A diferencia de algunas familias de ransomware con módulos de comportamiento de gusanos para la propagación o replicación sin interacción humana, el ransomware Akira requiere un procedimiento activo para propagar la infección dentro de las redes. Las opciones comunes son el uso de políticas de controlador de dominio si el actor de amenazas ha alcanzado este nivel de acceso o el uso de características integradas en el binario de Akira activadas por scripts por lotes o bash.
X-Force ha observado que los actores del ransomware Akira utilizan scripts por lotes con el siguiente patrón después de completar las actividades de reconocimiento:
“iniciar akira_binary.exe -remote -n=3 -p=\\ xx.xx.xx.xx\ C$”
El binario del ransomware Akira crea un archivo de texto ubicado en el directorio actual donde tuvo lugar la ejecución.
IBM X-Force ha analizado binarios de Windows y Linux para detectar el ransomware Akira. Las versiones para Linux y Windows de Akira funcionan de manera similar, con la principal diferencia de las bibliotecas utilizadas para admitir operaciones criptográficas. Akira agrega .akira al nombre de archivo de los archivos cifrados y suelta una nota de rescate en cada directorio donde se cifran los archivos. La nota de rescate contiene un enlace TOR y un código que la víctima puede usar para iniciar sesión en un sistema de chat para negociar el rescate.
En un caso, el archivo del ransomware Akira se compiló a finales de diciembre de 2023, concretamente el 28-12-2023 a las 14:49:57 UTC, y se desarrolló en C++.
Figura 5: Marca de fecha y hora para la compilación del ransomware Akira: 28 de diciembre de 2023 (Fuente: X-Force)
Tras la ejecución, Akira Ransomware creará un archivo de registro en el directorio actual. El nombre del archivo de registro se basa en la hora local actual del sistema, en el siguiente formato: “Registro-<Día>- -<Año>-<Day>-<Month><Year><Hour><Minute><Second>-.txt ”. Si se produce un error al cifrar un archivo, Akira escribirá un mensaje de error en el archivo de registro. La información adicional sobre los parámetros de la línea de comando del programa también se escribe en el archivo de registro. Una vez creado el archivo de registro, Akira comenzará a analizar los argumentos de su línea de comandos. La versión para Windows de Akira acepta los siguientes argumentos de la línea de comandos:
Desplazar para ver la tabla completa
Figura 6: Argumentos de la línea de comandos utilizados por el ransomware Akira (Fuente: X-Force)
Una vez que se analizan los argumentos de la línea de comandos, Akira eliminará todas las instantáneas mediante el comando Powershell: “powershell.exe -Command “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””. Este comando se ejecuta utilizando objetos del Modelo de objetos componentes (COM) para evitar la detección. Además, Akira puede intentar eliminar procesos con los siguientes nombres:
Desplazar para ver la tabla completa
Figura 7: Procesos que Akira ransomware intenta eliminar (Fuente: X-Force)
Una vez que se eliminen estos procesos, Akira comenzará el cifrado. Los archivos se cifran con ChaCha20 o KCipher-2. Los archivos de más de 2 MB se cifrarán en bloques, mientras que los archivos más pequeños se cifrarán según el porcentaje de cifrado proporcionado en los argumentos de la línea de comandos. De forma predeterminada, el 50% de cada archivo de menos de 2 MB está encriptado. A cada archivo cifrado se le asigna la extensión .akira. Akira no cifrará archivos con ninguna de las siguientes extensiones:
La versión Linux de Akira utiliza la misma lista de directorios y extensiones de archivo que la versión de Windows que utiliza para filtrar archivos específicos aunque se encuentren en sistemas Windows en lugar de Linux. Akira no cifrará ningún archivo dentro de las siguientes carpetas:
Las organizaciones pueden tomar varias medidas para reforzar las defensas contra el ransomware Akira. Si bien no existe un enfoque garantizado para prevenir un ataque de ransomware, incluso de los actores de amenazas de Akira, la implementación de estas medidas puede dificultar que los atacantes de Akira empleen sus técnicas preferidas:
Además de lo anterior, X-Force recomienda aprovechar las acciones proactivas y correctivas proporcionadas por CISA en su reporte del 18 de abril.
Para saber cómo IBM® X-Force puede ayudarte con cualquier cosa relacionada con la ciberseguridad, incluyendo respuesta a incidentes, inteligencia de amenazas o servicios de seguridad ofensiva, programa una reunión aquí.
Si tiene problemas de ciberseguridad o un incidente, contacte a X-Force para ayudarle: Línea directa de EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.
Desplazar para ver la tabla completa