El nombre Akira resonó por primera vez apenas un año atrás y muy rápidamente se convirtió en uno de los principales grupos cibercriminales. Poco conocimiento se tenía de ellos entonces; sin embargo, un año ya ha pasado y ya se tiene más información sobre sus métodos de ataque y características como grupo cibercriminal, a pesar de ello, siguen ejecutando con gran éxito ataques a gran escala contra organizaciones de todas las industrias y de todos los tamaños.
Aunque al principio Akira fue muy conocido por sus ataques a empresas, principalmente en Estados Unidos y Canadá, rapidamente diversificó sus objetivos y se extendió a Europa, África y América Latina. En México, en estos dos años de actividad, ha perpetuado con éxito el ataque contra grandes empresas de la industria de consumo, y se atribuyen el ataque de una de las principales empresas mineras del país.
¿Qué sabemos de Akira y de su modus operandi?
Este grupo, que ha logrado infundir miedo en organizaciones de todo tipo de industria y tamaño, utiliza una metodología sofisticada para penetrar en los sistemas de las empresas y evadir sus estrategias de defensa, por más sofisticadas que sean.
Su principal arma es el ransomware y la doble extorsión; es decir, al penetrar en los sistemas de una organización, extraen la información, luego la encriptan y solicitan un monto sustancial para desencriptarla. En un segundo momento, si la víctima no cede a la presión, amenazan con hacer pública la información extraída, lo que aumenta sus probabilidades de recibir un pago exitoso y jugoso. También se disribuyen en la deepweb en un modelo de ransomware as a service (RaaS).
El método de ransomware que utilizan sigue un patrón ya conocido, y estudiado, pero con ciertas características que lo diferencian de otros tipos de ransomware que sigue los siguientes pasos:
- Compromiso de cuentas: estas cuentas se obtienen través de la explotación de vulnerabilidades de sistemas de algunos fabricantes con los que trabaje una organización, o bien, vía VPN comprometidas.
- Mapeo de red: una vez dentro, construyen un mapa del territorio de la red utilizando diversas herramientas, para conocer y estudiar bien sus siguientes pasos.
- Persistencia en el sistema: este actor de amenza buscará mantenerse dentro del sistema burlando la seguridad que puedan tener las organizaciones. Pueden hacerlo utilizando las cuentas ya creadas, robando credenciales de usuarios para escalar privilegios, realizando movimientos laterales mediante escritorios remotos, y tratando de desactivar los agentes de seguridad utilizando diversas técnicas.
- Encriptación de la información: Una vez comprometidos los sistemas, Akira propaga su malware para encriptar los archivos. Este malware tipo ransomware es imposible de revertir sin la clave que el atacante genera.
¿Hay algo que podamos hacer en contra de Akira?
- Actualizaciones constantes: Marcas como Cisco identifican estos modos de proceder y liberan parches para evitar que se exploten ciertas vulnerabilidades identificadas, por ello es importante mantener las actualizaciones al día.
- Identificación de activos y sistemas: el equipo de seguridad de una organización debe mantener un inventario constante de las herramientas que utilizan los equipos internos. Esto es esencial porque los cibercriminales utilizan herramientas específicas que pueden ser un indicador clave para detectar la presencia de un actor de amenaza.
- Realización de copias de seguridad eficientes: los respaldos constantes son cruciales, pero sólo si se hacen con una metodología de respaldo adecuada. En Cybolt tenemos muchos artículos sobre el tema que nos ayudan a entender cómo hacerlo. Este paso es necesario para evadir la primera extorsión y tener acceso a nuestra información.
- Monitoreo y detección temprana: es importante que este proceso sea constante para detectar a los intrusos en una red de forma temprana. Esto permite identificar actividad inusual, movimientos laterales y, en consecuencia, actuar a tiempo para detener un ataque.
- Contar con un plan de respuesta a incidentes: si aún así los métodos de ataque son efectivos y los cibercriminales han logrado encriptar la información, es necesario saber cómo actuar. Para ello, debemos implementar un protocolo previamente determinado para hacerlo de forma rápida y precisa.
No todo está perdido
Nos gustaría decir que estos pasos son tareas sencillas y que se resuelven con la implementación de monitoreo en los sistemas, lo cierto es que estas acciones forman parte de un gran plan que toda empresa, de cualquier tamaño y sector, debe construir antes de un ataque. Esto no es fácil, los ecosistemas digitales organizaciones son complejos, y en el mercado existe una vasta oferta de soluciones y herramientoas que parece abrumadora y que nos puede dificultar la desición de elegir con qué trabajar. Además de que casi siempre se cuenta con un presupuesto muy limitado.
La buena noticia es que existen empresas como Cybolt, que tienen una visión amplia de toda la información que gira en torno a la ciberseguridad, además de que cuentan con personal certificado por área altamente capacitado para ser el aliado ideal en el proceso de construcción de una estrategia de punto a punto de toda organización, permitiendo que las empresas se ocupen de su negocio mientras nosotros nos ocupamos de su ciberseguridad.
Por ello, te invitamos a que si deseas obtener más información sobre cómo opera este grupo y cómo defender a tu organización, nos escríabas a [email protected]/latam, además de suscribirse al boletín de BeaconLab, nuestro observatorio de amenazas y CSIRT, que le proveerá información oportuna sobre las vulnerabilidades más explotadas en el espacio digital.
Fuete: BeaconLab.