Investigación Profunda de Grupos de RansomwareInvestigación 3 - Ransomware Akira1. Identificación y Origen Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.2. Perfil y Evolución Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.3. Metodología de AtaqueAcceso inicial: Explota vulnerabilidades en Cisco y Fortinet, phishing y credenciales robadas.Persistencia: Crea cuentas y usa herramientas como Mimikatz para volcar credenciales.Evasión: Desactiva antivirus/EDR y usa la red Tor para la exfiltración de datos.Cifrado: Utiliza ChaCha20 y RSA, además de eliminar copias de seguridad (VSS).4. Modelo Financiero Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.5. Victimología Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.6. RecomendacionesRespaldos segmentados y seguros.Autenticación multifactor y actualizaciones constantes.Segmentación de red y monitoreo de tráfico.Auditoría de cuentas administrativas y restricción de accesos.7. Incidente Destacado El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/ https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.htmlRedes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

Ver todos los episodios