Akira es una nueva variante de ransomware que se identificó por primera vez en estado salvaje en el primer trimestre de 2023. Esta variante de malware ataca tanto a sistemas Windows como Linux y utiliza ChaCha2008 para denegar a los usuarios el acceso a sus datos.
La variante del ransomware Akira se distribuye de varias formas. Algunos mecanismos de distribución conocidos incluyen archivos adjuntos de correo electrónico infectados y la explotación de la vulnerabilidad del terminal VPN. Una vez que el ransomware Akira consigue acceder a un sistema, utiliza diversos medios para ocultar su presencia. Por ejemplo, el ransomware puede actuar contra las soluciones de seguridad de terminales y utiliza LOLBins -que "viven de la tierra" utilizando funciones integradas en un ordenador para realizar acciones maliciosas- para aumentar la complejidad de la detección y reparación de la infección. También se sabe que el ransomware roba credenciales de un sistema mediante el volcado de la memoria del proceso LSASS, lo que le proporciona acceso y privilegios adicionales en el sistema comprometido.
Al igual que el ransomware Conti V2 -que se filtró-, el malware utiliza CryptGenRandom y ChaCha 2008 para el cifrado de archivos. Los archivos encriptados se pueden identificar mediante un .akira anexada a sus nombres de archivo. El malware también borra las instantáneas de los archivos, impidiendo que puedan utilizarse para la recuperación de datos. En algunos casos, también se ha observado que el ransomware realiza ataques sólo de extorsión. Estos ataques se saltan la fase de cifrado de los datos y, en su lugar, los exfiltran y exigen un rescate para no venderlos o filtrarlos públicamente. Una vez que el ransomware ha cifrado y/o robado los datos, muestra un mensaje de rescate. Akira es conocido por exigir grandes rescates, a menudo de cientos de millones de dólares.
El grupo de ransomware Akira suele exigir un gran rescate, por lo que su objetivo principal son las grandes empresas. En general, el ransomware se dirige a empresas de Norteamérica, Europa y Australia.
A menudo, el malware se distribuye como parte de una campaña de amenazas dirigidas, aprovechando correos electrónicos de phishing o software vulnerable para infectar los sistemas. Las industrias objetivo comunes incluyen la educación, las finanzas, la manufactura y la industria médica.
Las infecciones por el ransomware Akira pueden resultar costosas para una empresa en términos de disminución de la productividad, pérdida de datos y coste de los rescates y la reparación. Algunas de las mejores prácticas que las organizaciones pueden aplicar para reducir el riesgo de que un ataque de ransomware tenga éxito son las siguientes:
El ransomware se ha convertido en una de las principales amenazas para la ciberseguridad corporativa y la seguridad de los datos. Los modernos ataques de ransomware no sólo amenazan con la pérdida de datos, sino también con la filtración de información confidencial de empresas y clientes.
Akira, aunque es una variante de ransomware relativamente nueva, ya ha demostrado ser una de las variantes de malware más peligrosas en funcionamiento. Utiliza diversas técnicas para ocultarse en los sistemas infectados y combina el cifrado de datos y la extorsión en sus intentos de obligar a las empresas a pagar grandes rescates.
Prevenir los ataques de ransomware es esencial para la ciberseguridad de una organización y su capacidad para mantener las operaciones. Le invitamos a explorar más a fondo ransomware prevención de amenazas consultando la Guía del CISO para la prevención ransomware .
Check Point's Harmony Endpoint incorpora sólidas capacidades de prevención ransomware, así como la capacidad de defender los sistemas de una organización frente a diversas amenazas potenciales de seguridad de terminales. Para conocer las capacidades de Harmony Endpoint'y descubrir cómo puede ayudar a proteger su empresa contra Akira y otras amenazas de seguridad de terminales, no dude en inscribirse para una demostración gratuita hoy mismo.