Los actores de amenazas detrás del grupo de ransomware Akira han extorsionado aproximadamente 42 millones de dólares en ganancias ilícitas después de violar las redes de más de 250 víctimas hasta el 1 de enero de 2024.
«Desde marzo de 2023, el ransomware Akira ha afectado a una amplia gama de empresas y entidades de infraestructura crítica en América del Norte, Europa y Australia», dijeron en un comunicado las agencias de ciberseguridad de los Países Bajos y EE. UU., junto con el Centro Europeo de Ciberdelincuencia (EC3) de Europol. alerta conjunta.
«En abril de 2023, tras un enfoque inicial en los sistemas Windows, los actores de amenazas de Akira implementaron una variante de Linux dirigida a las máquinas virtuales VMware ESXi».
Se ha observado que el grupo de doble extorsión utiliza una variante C++ del casillero en las primeras etapas, antes de cambiar a un código basado en Rust a partir de agosto de 2023. Vale la pena señalar que el actor del crimen electrónico es completamente diferente de la familia de ransomware Akira. que estuvo activo en 2017.
El acceso inicial a las redes de destino se facilita mediante la explotación de fallas conocidas en los dispositivos Cisco (por ejemplo, CVE-2020-3259 y CVE-2023-20269 ).
Los vectores alternativos implican el uso de Protocolo de escritorio remoto ( RDP ), phishing, credenciales válidas y servicios de red privada virtual (VPN) que carecen de protecciones de autenticación multifactor (MFA).
También se sabe que los actores de Akira aprovechan varias formas de configurar la persistencia creando una nueva cuenta de dominio en el sistema comprometido, así como evadir la detección abusando del controlador Zemana AntiMalware para finalizar procesos relacionados con el antivirus a través de lo que se llama Bring Your Own Vulnerable Driver. ( BYOVD ) ataque.
Para ayudar en la escalada de privilegios, el adversario confía en herramientas de extracción de credenciales como Mimikatz y LaZagne, mientras que Windows RDP se utiliza para moverse lateralmente dentro de la red de la víctima. La filtración de datos se logra a través de FileZilla, WinRAR, WinSCP y RClone.
«El ransomware Akira cifra los sistemas específicos utilizando un algoritmo de cifrado híbrido que combina Chacha20 y RSA», afirmó Trend Micro en un análisis del ransomware publicado en octubre de 2023.
«Además, el binario de ransomware Akira, como la mayoría de los binarios de ransomware modernos, tiene una característica que le permite inhibir la recuperación del sistema eliminando instantáneas del sistema afectado».
Los datos de blockchain y código fuente sugieren que el grupo de ransomware Akira probablemente esté afiliado a la ahora desaparecida pandilla de ransomware Conti . Avast lanzó un descifrador para Akira en julio pasado, pero es muy probable que las deficiencias se hayan solucionado desde entonces.
La mutación de Akira para apuntar a entornos empresariales Linux también sigue movimientos similares de otras familias de ransomware establecidas como LockBit, Cl0p, Royal, Monti y RTM Locker.
Las luchas de LockBit por regresar
La revelación se produce cuando Trend Micro reveló que la amplia eliminación policial de la prolífica pandilla LockBit a principios de febrero ha tenido un impacto operativo y de reputación significativo en la capacidad del grupo para recuperarse, lo que lo llevó a publicar víctimas antiguas y falsas en su nueva filtración de datos. sitio.
«LockBit era una de las cepas de RaaS más prolíficas y ampliamente utilizadas en funcionamiento, con potencialmente cientos de afiliados, incluidos muchos asociados con otras cepas destacadas», señaló Chainalysis en febrero.
La firma de análisis blockchain dijo que descubrió rastros de criptomonedas que conectan a un administrador de LockBit con un periodista con sede en Sebastopol conocido como Coronel Cassad, quien tiene un historial de solicitar donaciones para operaciones de grupos de milicias rusas en las jurisdicciones sancionadas de Donetsk y Luhansk luego del inicio de la crisis Russo. -Guerra de Ucrania en 2022.
Vale la pena señalar que Cisco Talos, en enero de 2022, vinculó al coronel Cassad (también conocido como Boris Rozhin) con una campaña de desinformación contra Ucrania orquestada por el grupo patrocinado por el estado ruso conocido como APT28 .
«Después de la operación, LockBitSupp [el presunto líder de LockBit] parece estar intentando inflar el aparente recuento de víctimas mientras también se centra en publicar víctimas de países cuyas agencias policiales participaron en la interrupción», dijo Trend Micro en un análisis profundo reciente.
«Esto es posiblemente un intento de reforzar la narrativa de que volvería más fuerte y atacaría a los responsables de su interrupción».
En una entrevista con Recorded Future News el mes pasado, LockBitSupp reconoció la disminución a corto plazo de sus ganancias, pero prometió mejorar sus medidas de seguridad y «trabajar mientras mi corazón lata».
«La reputación y la confianza son claves para atraer afiliados, y cuando se pierden, es más difícil lograr que la gente regrese. La Operación Cronos logró atacar un elemento de su negocio que era más importante: su marca», afirmó Trend Micro.
Agenda regresa con una versión Rust actualizada
El desarrollo también sigue al uso por parte del grupo de ransomware Agenda (también conocido como Qilin y Water Galura) de una variante actualizada de Rust para infectar servidores VMWare vCenter y ESXi a través de herramientas de administración y monitoreo remoto (RMM) y Cobalt Strike.
«La capacidad del ransomware Agenda para propagarse a la infraestructura de máquinas virtuales muestra que sus operadores también se están expandiendo a nuevos objetivos y sistemas», dijo la compañía de ciberseguridad.
Incluso mientras una nueva generación de actores de ransomware continúa dinamizando el panorama de amenazas, también se está volviendo más claro que el «ransomware crudo y barato» vendido en el mundo del cibercrimen se está utilizando en ataques del mundo real, permitiendo a los actores de amenazas individuales de nivel inferior generar ganancias significativas sin tener que ser parte de un grupo bien organizado.
Curiosamente, la mayoría de estas variedades están disponibles por un precio único, a partir de tan solo $20 por una sola construcción, mientras que algunas otras, como HardShield y RansomTuga, se ofrecen sin costo adicional.
«Lejos de la compleja infraestructura del ransomware moderno, el ransomware basura permite a los delincuentes participar en la acción de forma económica, fácil e independiente», dijo Sophos , describiéndolo como un «fenómeno relativamente nuevo» que reduce aún más el costo de entrada.
«Pueden apuntar a pequeñas empresas e individuos, que probablemente no tengan los recursos para defenderse o responder eficazmente a los incidentes, sin darle una parte a nadie más».
Fuente y redacción: thehackernews.com
