Sign up to save your podcasts
Or
Share IPGR Investigación 3 - Ransomware Akira
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
IPGR Investigación 3 - Ransomware Akira
Investigación Profunda de Grupos de Ransomware
Investigación 3 - Ransomware Akira
1. Identificación y Origen
Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.
2. Perfil y Evolución
Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.
3. Metodología de Ataque
- Acceso inicial: Explota vulnerabilidades en Cisco y Fortinet, phishing y credenciales robadas.
- Persistencia: Crea cuentas y usa herramientas como Mimikatz para volcar credenciales.
- Evasión: Desactiva antivirus/EDR y usa la red Tor para la exfiltración de datos.
- Cifrado: Utiliza ChaCha20 y RSA, además de eliminar copias de seguridad (VSS).
4. Modelo Financiero
Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.
5. Victimología
Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.
6. Recomendaciones
- Respaldos segmentados y seguros.
- Autenticación multifactor y actualizaciones constantes.
- Segmentación de red y monitoreo de tráfico.
- Auditoría de cuentas administrativas y restricción de accesos.
7. Incidente Destacado
El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.
Fuente:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web
https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/
https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira
https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf
https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry
https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.html
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasInvestigación Profunda de Grupos de Ransomware
Investigación 3 - Ransomware Akira
1. Identificación y Origen
Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.
2. Perfil y Evolución
Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.
3. Metodología de Ataque
- Acceso inicial: Explota vulnerabilidades en Cisco y Fortinet, phishing y credenciales robadas.
- Persistencia: Crea cuentas y usa herramientas como Mimikatz para volcar credenciales.
- Evasión: Desactiva antivirus/EDR y usa la red Tor para la exfiltración de datos.
- Cifrado: Utiliza ChaCha20 y RSA, además de eliminar copias de seguridad (VSS).
4. Modelo Financiero
Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.
5. Victimología
Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.
6. Recomendaciones
- Respaldos segmentados y seguros.
- Autenticación multifactor y actualizaciones constantes.
- Segmentación de red y monitoreo de tráfico.
- Auditoría de cuentas administrativas y restricción de accesos.
7. Incidente Destacado
El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.
Fuente:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web
https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/
https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira
https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf
https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry
https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.html
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.