La amenaza del ransomware Akira: una guía imprescindible
El ransomware Akira se ha convertido rápidamente en una de las ciberamenazas más devastadoras de los últimos años, y ataca a organizaciones de múltiples sectores. Según un estudio de la CISA, entre marzo de 2023 y enero de 2024, el grupo responsable del ransomware Akira atacó a más de 250 organizaciones, exigiendo un total de 42 millones de dólares en pagos de rescate.
Las empresas de todos los tamaños deben comprender cómo funciona este ransomware para reforzar sus defensas y minimizar el riesgo. Lee esta entrada para conocer la amenaza del ransomware Akira, su ciclo de vida y estrategias prácticas para defenderse de futuros ataques.
Comprender la amenaza del ransomware Akira
El ransomware Akira es un tipo peligroso de ransomware que emplea un modelo de doble extorsión. Roba datos confidenciales antes del cifrado y amenaza con filtrarlos si no se paga el rescate. Este ransomware surgió en marzo de 2023 y se distribuye a través del Ransomware como servicio modelo.
El número de entidades que, según se informa, han sido víctimas está aumentando, e incluye organizaciones destacadas de diferentes países (especialmente de América del Norte, Europa y Australia). La lista de víctimas del ransomware Akira también contiene empresas que operan en diversos sectores (educación, finanzas, industria manufacturera, inmobiliario, jurídico, sanitario, infraestructuras críticas y servicios municipales/públicos).
Las campañas típicas de ransomware moderno de Akira son muy específicas, técnicamente sofisticadas y tienen una motivación económica. Estos factores combinan una infiltración sigilosa con un impacto devastador en las empresas.
Además de los equipos con Windows, Akira se centra intensamente en atacar hosts ESXi para interrumpir el funcionamiento de las máquinas virtuales y destruirlas mediante el cifrado de datos. Esta estrategia hace que el ransomware sea extremadamente devastador y paralice a cualquier organización que utilice una infraestructura virtual para sus operaciones empresariales. Aproximadamente el 50 % de los ataques en 2024 tuvieron como objetivo VMware ESXi aprovechando múltiples vulnerabilidades.
Inicialmente, Akira se desarrolló en C++, especialmente la versión para Windows; IBM X-Force encontró una muestra compilada en C++ en diciembre de 2023. La versión Akira_v2 está escrita en Rust, lo que mejora sus funciones y su resistencia al análisis. Existen variantes tanto para Windows como para Linux, adaptadas a sus respectivas plataformas (CryptoAPI frente a Crypto++).
Ciclo de vida de un ataque del ransomware Akira: paso a paso
Para protegerse contra los ataques del ransomware Akira, es necesario comprender cómo funciona este ransomware en las diferentes fases de un ciberataque. Esto te permite aplicar medidas preventivas para la protección de datos.
Paso 1: Acceso inicial a través de puntos de entrada remotos
Los autores del ransomware Akira suelen obtener el acceso inicial a través de puntos de entrada remotos, aprovechando servicios expuestos o con una seguridad deficiente. Esta estrategia les permite acceder a la red de destino sin necesidad de intervenir físicamente en ella.
Aprovechamiento de servicios VPN y RDP vulnerables
Los atacantes suelen acceder a la red de la víctima aprovechando vulnerabilidades de día cero y sin parchear en productos populares de red privada virtual (VPN) (pasarelas) y en software de acceso remoto que utiliza el Protocolo de Escritorio Remoto (RDP).
Ejemplos de los productos y vulnerabilidades utilizados por Akira:
- Cisco ASA / FTD — como CVE-2023-20269, un fallo de escalada de privilegios en el proceso de autenticación de la VPN.
- Dispositivos SonicWall Secure Mobile Access (SMA) — especialmente cuando no se han aplicado los parches o carecen de autenticación multifactorial (MFA).
- Vulnerabilidades de la VPN SSL de Fortinet FortiGate —incluidas vulnerabilidades antiguas como CVE-2018-13379, que siguen siendo explotadas en dispositivos sin mantenimiento—.
Las tácticas para obtener acceso no autorizado a la red de una víctima incluyen los siguientes elementos:
- Escanear Internet en busca de dispositivos que ejecuten firmware obsoleto.
- Aprovechar la vulnerabilidad para eludir la autenticación o ejecutar código.
- Utilizar tokens de sesión robados o credenciales en texto plano almacenadas en la memoria. Los autores del ransomware Akira pueden realizar un minivolcado de la memoria del proceso LSASS (Servicio del Subsistema de Autoridad de Seguridad Local) para recopilar credenciales adicionales.
- Ataques directos de fuerza bruta contra cuentas con contraseñas débiles.
- Uso de credenciales filtradas procedentes de mercados de la dark web.
- Aprovechamiento de fallos en la puerta de enlace RDP o de los Servicios de Escritorio Remoto de Windows obsoletos.
En algunos incidentes, el grupo responsable del ransomware Akira utilizó:
- AnyDesk, TeamViewer o VNC con contraseñas débiles o reutilizadas.
- Se utilizaron herramientas RMM (supervisión y gestión remotas) de proveedores de servicios gestionados (MSP) cuando se vieron comprometidas las cuentas de estos proveedores.
- Consolas de administración basadas en la nube (Microsoft 365, AWS) para instalar scripts dentro de la red.
Nota: Microsoft implementó autenticación multifactorial obligatoria para reducir este riesgo para los administradores de Microsoft 365.
Credenciales comprometidas
Los atacantes suelen utilizar credenciales robadas en ataques anteriores. Por eso es importante utilizar credenciales únicas y seguir las prácticas de seguridad recomendadas. Este método permite a los atacantes del ransomware Akira acceder a la red de la víctima sin aprovechar vulnerabilidades. Como resultado, los atacantes parecen usuarios legítimos al acceder a la red sin comprometer otras medidas de seguridad.
Para obtener las credenciales, los atacantes también utilizan tácticas tradicionales, entre las que se incluyen:
- el phishing y correos electrónicos de spear-phishing que capturan nombres de usuario y contraseñas de VPN.
- Programas de registro de teclas o de robo de información (como RedLine Stealer) en los dispositivos personales de los usuarios remotos.
Se aprovechan los puntos débiles:
- Ausencia de autenticación multifactorial (MFA) en los inicios de sesión a la VPN y al correo electrónico.
- Contraseñas débiles que pueden ser descifradas mediante fuerza bruta.
- Ataques de fatiga de la MFA (solicitudes repetidas de inicio de sesión hasta que el usuario acepta).
Los ciberdelincuentes pueden recurrir a un ataque de fuerza bruta si no encuentran credenciales que coincidan. Este tipo de ataque suele dirigirse a los servicios RDP y SSH, y puede tener éxito si se utilizan contraseñas muy conocidas o débiles.
Una cadena típica de acceso remoto del ransomware Akira tiene este aspecto:
Escaneo de Internet → Identificación del servicio expuesto → Aprovechamiento de una VPN o robo de credenciales → Autenticación en el servicio remoto → Instalación de herramientas de reconocimiento y recolección de credenciales → Movimiento lateral
Paso 2: Persistencia y escalada de privilegios
Una combinación de herramientas de administración legítimas, configuraciones erróneas y scripts personalizados permite al ransomware Akira mantener el acceso a largo plazo y operar con plenos derechos del sistema. La persistencia consiste en permanecer en el entorno de la víctima después de ser detectado o después de reinicios. Después de acceder a la red, los atacantes garantizan su persistencia mediante técnicas que ocultan sus acciones, como la creación de nuevas cuentas y la escalada de privilegios.
Creación de nuevas cuentas
Al infectar sistemas Windows, el ransomware Akira añade usuarios locales con privilegios de administrador de Windows o administradores de dominio para mantener el acceso continuo. En ocasiones, se camufla utilizando nombres genéricos ( admin , helpdesk ). En entornos de Active Directory, Akira crea cuentas ocultas con derechos delegados. Si la autenticación multifactorial (MFA) está habilitada, los atacantes pueden, en ocasiones, robar tokens de sesión activos o valores de cookies de los navegadores para eludir la reautenticación.
Configuración de tareas programadas y servicios
El ransomware Akira crea tareas programadas que ejecutan scripts maliciosos o shells inversos al iniciar el sistema. Then, the ransomware modifies services to launch its tools and renames malicious services to look like legitimate operating system (OS) services.
Installing remote access tools
Akira ransomware deploys AnyDesk, TeamViewer or RMM agents to retain access even if VPN credentials are revoked. It configures them to auto-start and hide from the taskbar. In Windows, registry settings are edited by modifying startup items and registry keys. Akira alters:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
and
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
These techniques ensure payloads reload on reboot.
After performing these actions, Akira ransomware clears system logs to erase records that could point to its activity. These tactics make it more difficult to identify an attack. Persistence ensures Akira can return even after “cleanup” attempts, slowly exfiltrate data over time for double extortion and deploy the final ransomware payload only after getting full network control.
Privilege escalation
Privilege escalation enables Akira to transition from normal user rights to system-level or domain-level control. Akira ransomware can exploit local privilege escalation vulnerabilities by using public exploits for unpatched Windows flaws (for example, CVE-2021-34527 PrintNightmare). It also targets kernel-level vulnerabilities to gain SYSTEM privileges.
Credential dumping includes dumping Windows cached credentials, domain admin hashes and LSA secrets. Once domain admin credentials are stolen, AD can be fully controlled. Akira uses stolen NTLM hashes or Kerberos tickets to impersonate privileged users without knowing their plaintext passwords. With privilege escalation, Akira ransomware can make maximum impact when encrypting because of access to backups, shadow copies and sensitive servers, which can turn off defenses across the domain.
Step 3 – Lateral movement and reconnaissance
Akira ransomware operators perform lateral movement and reconnaissance methodically. While most ransomware uses the “fire-and-forget” approach, Akira behaves more like an advanced human-led intrusion. It can even disable some security protection software.
Once inside, the attackers aim to identify high-value data and systems, with the goal of causing further damage to the target organization. La siguiente fase consiste en ampliar el acceso por toda la red antes de implementar el cifrado. Por lo tanto, antes de desplazarse lateralmente, Akira necesita saber qué hay en la red y dónde se encuentran los objetivos valiosos.
El escaneo de la red es el primer paso del reconocimiento. El mapeo de la red permite al ransomware identificar sus objetivos para el ataque inicial. Se utilizan herramientas integradas como ping , arp -a , y netstat para localizar hosts activos. Otros escáneres, como Advanced IP Scanner o nmap , pueden mapear subredes. Los scripts de PowerShell consultan Active Directory para obtener información sobre la estructura del dominio, las pertenencias a grupos, la jerarquía de unidades organizativas (OU) y la ubicación de las cuentas de administrador.
Siguiente, el ransomware Akira identifica los activos críticos. Los objetivos son servidores de archivos, controladores de dominio, dispositivos NAS y servidores de bases de datos. Busca una infraestructura de backups para desactivarla o cifrarla más tarde, y busca unidades compartidas y carpetas de sincronización en la nube.
Akira habilita el acceso remoto a los servicios incluso si están desactivados:
- RDP (Protocolo de Escritorio Remoto): a menudo después de habilitarlo mediante GPO (objetos de política de grupo) si está desactivado.
- PYME (Server Message Block): para copiar herramientas y cargas útiles entre hosts.
- WMI (Windows Management Instrumentation): para ejecutar comandos de forma remota sin generar registros de RDP.
Akira utiliza hash NTLM robados o tickets de Kerberos para autenticarse en otros sistemas sin conocer la contraseña. La extracción de credenciales permite desactivar los agentes de antivirus/EDR mediante derechos de administrador robados.
Este ransomware utiliza herramientas legítimas como:
- PsExec (de Sysinternals) para ejecutar comandos en sistemas remotos.
- PowerShell Remoting para ejecutar cargas útiles sin escribirlas en el disco.
- Net use para montar recursos compartidos remotos y exfiltrar archivos.
Akira puede utilizar herramientas MSP RMM (ConnectWise, AnyDesk, etc.) ya instaladas en el entorno para desplazarse a otros equipos sin activar alertas. Los proveedores de servicios gestionados deben actuar con cautela y resolver Retos de ciberseguridad de MSP para proteger sus propios datos y los de sus clientes.
Las herramientas y cargas útiles del ransomware se copian a otros equipos para preparar la siguiente fase del ataque.
El reconocimiento y el movimiento lateral permiten al ransomware maximizar el impacto del cifrado al atacar el mayor número posible de máquinas simultáneamente. Como resultado, puede acceder a datos confidenciales para llevar a cabo una doble extorsión (robo de datos + cifrado) y destruir los backups para obligar a las víctimas a pagar el rescate.
Paso 4: Exfiltración de datos
El ransomware Akira suele comenzar recopilando y comprimiendo datos confidenciales para facilitar su transferencia y ocultación. Entre las herramientas más utilizadas se encuentran WinRAR para comprimir archivos en archivos comprimidos (formato RAR). Los atacantes también pueden utilizar FileZilla , WinSCP y rclone para empaquetar y transferir los datos robados. Estas herramientas son legítimas (de confianza y incluidas en la lista blanca) y no despiertan sospechas, a diferencia de las herramientas específicas de creación propia. En algunos ataques, los datos se han subido directamente a unidades de almacenamiento en la nube de MEGA configuradas por los atacantes.
Se han extraído archivos WinRAR utilizando un navegador web Chrome ( Chrome.exe ), enviando archivos comprimidos a intervalos de IP externos que se asemejan al tráfico legítimo. Akira filtra datos utilizando diferentes herramientas para que este proceso sea rápido y eficaz. Durante uno de los ataques del ransomware Akira, los atacantes comprimieron 34 GB de datos con WinRAR y los enviaron a un recurso externo. Después de acceder a la red de la organización, tardaron unas dos horas en completar el ataque.
Paso 5: Cifrado e interrupción de las operaciones
Akira utiliza un modelo de cifrado híbrido. Este ransomware cifra primero los datos con un algoritmo simétrico rápido (ChaCha20 o KCipher-2) y, a continuación, protege la clave simétrica mediante una clave pública RSA codificada de forma fija, normalmente RSA-4096. Cada archivo afectado lleva la clave simétrica añadida al final y se cifra utilizando la clave RSA integrada. Akira puede cifrar parcialmente los archivos por bloques, en lugar de cifrarlos en su totalidad, para acelerar el proceso de cifrado y maximizar el daño. Por ejemplo, los archivos pequeños (< 2 MB) pueden cifrarse solo al 50 %, mientras que los más grandes se dividen en varios bloques comprimidos para un cifrado selectivo.
Los archivos cifrados reciben la extensión «. akira » (y otras como . powerranges o . akiranew en variantes más recientes). El ransomware excluye deliberadamente los archivos y directorios críticos para el sistema, como . exe , . dll , las carpetas del sistema, la Papelera de reciclaje y las carpetas de Windows , para mantener la estabilidad del sistema hasta que finalice la operación. Akira inicia el ataque eliminando todas las copias de seguridad de volumen de Windows mediante PowerShell (o WMI), lo que desactiva de forma efectiva las opciones de reversión para las víctimas.
El ransomware Akira es especialmente agresivo contra VMware ESXi los hipervisores. Puede cifrar hosts completos para afectar a múltiples máquinas virtuales en un solo ataque, desactivar servicios de seguridad, detener máquinas virtuales y manipular las credenciales de ESXi para bloquear el acceso a los administradores.
Una vez finalizado el cifrado, el ransomware Akira deja notas de rescate en cada directorio afectado, normalmente con nombres como akira_readme.txt o fn.txt . Estos archivos contienen un código único de la víctima y un enlace de negociación basado en TOR, en el que se amenaza con la divulgación de los datos y se exige un rescate en bitcoins.
Ataques a hosts ESXi
Aunque los sistemas Windows son los principales objetivos para iniciar el ataque y propagarlo por la red con el fin de infectar otras máquinas, los hosts ESXi también son objetivos habituales. Veamos cómo el ransomware Akira ataca los hosts ESXi.
- Después de acceder a la red, los atacantes localizan los hosts ESXi conectados a vCenter o a los que se puede acceder directamente a través de SSH.
- El ransomware Akira puede aprovechar las versiones vulnerables de vCenter/ESXi. Si faltan parches, pueden aprovecharse fallos conocidos como CVE-2021-21972, CVE-2021-21985 y CVE-2020-3992.
- Una vez que los atacantes acceden a ESXi a través de SSH (que suele estar habilitado en los hosts con fines administrativos), suben y ejecutan el cifrador Akira Linux ELF directamente en el host. El ransomware desactiva los servicios de seguridad de ESXi.
- El ransomware monta volúmenes de almacenamiento de datos en otro sistema o utiliza herramientas integradas ( vmkfstools , scp ) para copiar archivos . vmdk y . vmx con el fin de robar los datos de las máquinas virtuales.
- Una vez robados los datos, Akira apaga las máquinas virtuales mediante:
vim-cmd vmsvc/getallvms
vim-cmd vmsvc/power.off
y cifra los archivos de los almacenes de datos utilizando el cifrador, al igual que en Linux.
Cómo detectar y defenderse del ransomware Akira
Las estrategias de detección son medidas preventivas esenciales que requieren un enfoque complejo y deben incluir múltiples acciones.
- Supervisión del comportamiento de los terminales y de la red. Utiliza sistemas EDR/XDR (detección y respuesta en terminales/detección y respuesta ampliadas) para detectar comportamientos sospechosos (desactivación de herramientas de seguridad, eliminación de copias de seguridad, movimientos laterales inusuales, volcados de LSASS, etc.). Además, vigila cualquier uso anómalo de herramientas de compresión de archivos.
- Busca herramientas de gestión remota (AnyDesk, RustDesk, Radmin), utilidades de túnel (Ngrok, Cloudflare Tunnel) o tácticas de robo de credenciales (Mimikatz, LaZagne). Si ni tú ni tus compañeros las habéis instalado, podría ser un indicio temprano de un ataque de ransomware.
- Supervisa la instalación de controladores con firmas sospechosas, como rwdrv.sys (ThrottleStop), que Akira utiliza para cargar controladores maliciosos ( hlpdrv.sys ) y desactivar el software de protección contra malware. Akira puede hacer un uso indebido de los controladores firmados y estos ataques se denominan ataques BYOVD (Bring Your Own Vulnerable Driver, «trae tu propio controlador vulnerable»).
- Esté atento al apagado masivo de máquinas virtuales. El ransomware puede apagarlas para empezar a copiar archivos y cifrarlos.
- Esté atento a la actividad anómala de los archivos y a los archivos renombrados con . akira , . akiranew o extensiones relacionadas.
- Configure alertas de cuentas y acceso. Marque las cuentas «fantasma» nuevas o redescubiertas creadas por los atacantes, especialmente si están ocultas en las pantallas de inicio de sesión.
- Detecta anomalías en el acceso a VPN/RDP, como inicios de sesión inusuales, intentos fallidos de autenticación o accesos desde ubicaciones geográficas extrañas.
Junto con las medidas de detección, debes implementar estrategias de defensa contra el ransomware Akira.
- Configura la autenticación multifactorial para acceder a VPN, RDP, herramientas de administración web, correos electrónicos, etc. Utiliza contraseñas seguras y una política de seguridad sólida. Establece el número de intentos de contraseña incorrectos.
- Restrinja el acceso externo a VPN/RDP; utilice geovallas y elimine periódicamente las credenciales y cuentas inactivas. Configure cortafuegos y filtre el tráfico de red. Desactive los puertos que no se utilicen.
- Aplica parches periódicamente a las appliances y sistemas VPN, especialmente a aquellos que sean destinos conocidos de Akira.
- Implementa la segmentación de la red y considera la seguridad de «confianza cero». Segmenta las redes para limitar el movimiento lateral del ransomware y evitar su propagación. Utiliza el principio del mínimo privilegio siempre que sea posible para proporcionar acceso únicamente a las tareas necesarias.
- Instala un antivirus (AV) con software EDR/XDR para proteger los ordenadores de la red. Aplica una lista blanca de controladores para impedir la ejecución de controladores firmados vulnerables. Añade medidas de protección como «Moving Target Defense», que bloquean el «dumping» de credenciales, las herramientas de movimiento lateral y el ransomware mediante la modificación del comportamiento del sistema.
Implementa una estrategia de backups fiable que es necesaria para la estrategia global de protección de datos.
- Configura backups periódicos . Asegúrate de que los backups sean cifrado, inmutable y de que se prueben periódicamente para garantizar su disponibilidad para la recuperación.
- Siga las Regla de backup «3-2-1» . Disponga de al menos 3 copias de los datos, 2 almacenadas en soportes diferentes y 1 externa. También debe disponer de una copia de backup externa, aislada de la red, a la que el ransomware no pueda acceder.
- Imparta formación periódica a los usuarios : enseñe a los usuarios a detectar actividades sospechosas y qué hacer si observan un comportamiento inusual. Los usuarios deben desconectar el ordenador inmediatamente si se producen actividades sospechosas o signos de una infección por ransomware, e informar del problema a un administrador del sistema.
- Configure supervisión de infraestructuras . Supervise los registros, las transferencias de archivos inusuales, la creación de cuentas de administrador y los comportamientos extraños en la red mediante SIEM o herramientas de supervisión de terceros.
- Elabore un plan de respuesta ante el ransomware como parte de los planes más amplios recuperación ante desastres y plan de continuidad del negocio . Desarrolle y pruebe un plan específico contra el ransomware plan de respuesta ante incidentes, con roles y procedimientos claros.
No pague el rescate si se produce un ataque de ransomware. Las autoridades (FBI, CISA y otras) desaconsejan el pago del rescate, ya que no hay garantía de que vaya a recuperar sus datos. La recuperación tras un ataque de ransomware Akira implica eliminar el ransomware de los ordenadores infectados o incluso reinstalar el software, realizar una auditoría de la infraestructura, aplicar parches a todas las vulnerabilidades posibles y restaurar los datos a partir de una copia de seguridad.
Utilice NAKIVO Backup & Replication para la copia de seguridad y la recuperación de datos. La solución NAKIVO admite copias de seguridad de máquinas físicas, máquinas virtuales, instancias de Amazon EC2, Microsoft 365 y bases de datos de Oracle (a través de RMAN). Con una amplia gama de opciones de almacenamiento de copias de seguridad, puede implementar una estrategia de copia de seguridad fiable. El cifrado de datos y la inmutabilidad de los backups protegen los datos contra el acceso y la modificación no autorizados, lo que le permite recuperar sus archivos en caso de desastre o de un ataque de ransomware.
Conclusión
El ransomware Akira sigue siendo una importante amenaza para la ciberseguridad, ya que utiliza tácticas sofisticadas para infiltrarse en las redes, cifrar datos y extorsionar a las víctimas. Comprender su ciclo de vida y los métodos de detección es esencial para crear defensas sólidas y minimizar los posibles daños. Las copias de seguridad fiables, herramientas como NAKIVO Backup & Replication y la supervisión proactiva pueden reducir significativamente el impacto de un ataque. Al mantenerse informadas y preparadas, las organizaciones pueden reforzar su resiliencia frente al ransomware Akira.