El FBI descubrió que el grupo de ransomware Akira ha estado atacando empresas y entidades de infraestructuras críticas desde marzo de 2023.
Akira, un grupo de ransomware de un año de antigüedad, vulneró más de 250 organizaciones y extrajo aproximadamente USD 42 millones en ingresos por ransomware, según alertaron las principales agencias de ciberseguridad mundiales.
Las investigaciones llevadas a cabo por la Oficina Federal de Investigación de Estados Unidos (FBI) descubrieron que el ransomware Akira ha estado atacando a empresas y entidades de infraestructuras críticas en Norteamérica, Europa y Australia desde marzo de 2023. Aunque el ransomware se dirigía inicialmente a sistemas Windows, el FBI ha descubierto recientemente que Akira también tiene una variante para Linux.
El FBI, junto con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), el Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Centro Nacional de Ciberseguridad (NCSC-NL) de los Países Bajos, publicaron un aviso conjunto de ciberseguridad (CSA) para "difundir" la amenaza a las masas.
Según el aviso, Akira obtiene acceso inicial a través de redes privadas virtuales (VPN) preinstaladas que carecen de autenticación multifactor (MFA). El ransomware procede entonces a extraer credenciales y otra información sensible antes de bloquear el sistema y mostrar una nota de rescate.
“Los actores de la amenaza Akira no dejan una petición inicial de rescate o instrucciones de pago en las redes comprometidas, y no transmiten esta información hasta que la víctima se pone en contacto con ellos.”
El grupo de ransomware exige pagos en bitcoin BTC tickers down €64,323
a las organizaciones víctimas para restaurar el acceso. Este tipo de malware suele desactivar el software de seguridad tras el acceso inicial para evitar su detección.
Algunas de las técnicas de mitigación de amenazas recomendadas en el aviso son la implementación de un plan de recuperación y MFA, el filtrado del tráfico de red, la desactivación de puertos e hipervínculos no utilizados y el cifrado de todo el sistema.
"El FBI, CISA, EC3 y NCSC-NL recomiendan probar continuamente su programa de seguridad, a escala, en un entorno de producción para garantizar un rendimiento óptimo frente a las técnicas ATT&CK de MITRE identificadas en este aviso", concluyen las agencias.
El FBI, el CISA, el NCSC y la Agencia de Seguridad Nacional de EE.UU. (NSA) ya habían alertado anteriormente sobre malware que se estaba utilizando para atacar monederos y exchanges de criptomonedas.
El informe señalaba que algunos de los datos extraídos por el malware incluían datos dentro de los directorios de las aplicaciones de exchange Binance y Coinbase y de la aplicación Trust Wallet. Según el informe, se están filtrando todos los archivos de los directorios mencionados, independientemente de su tipo.