Akira, un grupo de ransomware que existe desde hace un año, violó más de 250 organizaciones y extrajo aproximadamente 42 millones de dólares en ingresos por ransomware, alertaron las principales agencias de ciberseguridad mundiales.
Las investigaciones realizadas por la Oficina Federal de Investigaciones (FBI) de los Estados Unidos descubrieron que el ransomware Akira se ha dirigido a empresas y entidades de infraestructura crítica en América del Norte, Europa y Australia desde marzo de 2023. Si bien el ransomware inicialmente estaba dirigido a sistemas Windows, el FBI encontró recientemente el Linux de Akira. variante también.
El FBI, junto con la Agencia de Seguridad Cibernética y de Infraestructura (CISA), el Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Centro Nacional de Ciberseguridad de los Países Bajos (NCSC-NL), publicaron un aviso conjunto de ciberseguridad (CSA) para “difundir” la amenaza. a las masas.
Según el aviso, Akira obtiene acceso inicial a través de redes privadas virtuales (VPN) preinstaladas que carecen de autenticación multifactor (MFA). Luego, el ransomware procede a extraer las credenciales y otra información confidencial antes de bloquear el sistema y mostrar una nota de rescate.
"Los actores de amenazas de Akira no dejan una solicitud de rescate inicial o instrucciones de pago en las redes comprometidas, y no transmiten esta información hasta que la víctima se pone en contacto con ellos".
El grupo de ransomware exige pagos en Bitcoin (BTC) a las organizaciones víctimas para restablecer el acceso. Este tipo de malware a menudo desactiva el software de seguridad después del acceso inicial para evitar la detección.
Mejores prácticas de ciberseguridad contra ataques de ransomware. Fuente: cisa.gov
Algunas de las técnicas de mitigación de amenazas recomendadas en el aviso son implementar un plan de recuperación y autenticación multifactor, filtrar el tráfico de red, desactivar puertos e hipervínculos no utilizados y el cifrado de todo el sistema.
"El FBI, CISA, EC3 y NCSC-NL recomiendan probar continuamente su programa de seguridad, a escala, en un entorno de producción para garantizar un rendimiento óptimo frente a las técnicas MITRE ATT&CK identificadas en este aviso", concluyeron las agencias.
Relacionado: Un malware misterioso ataca a los tramposos de Call of Duty y les roba sus Bitcoins
El FBI, CISA, NCSC y la Agencia de Seguridad Nacional (NSA) emitieron previamente alertas sobre malware que se estaba utilizando para atacar carteras e intercambios de criptomonedas.
Directorios donde la información fue extraída por el malware. Fuente: Centro Nacional de Seguridad Cibernética
El informe señaló que algunos de los datos extraídos por el malware incluían datos dentro de los directorios de las aplicaciones de intercambio Binance y Coinbase y la aplicación Trust Wallet. Según el informe, todos los archivos de los directorios enumerados se están extrayendo independientemente del tipo.
Revista: Consigue Bitcoin o muere en el intento: por qué a las estrellas del hip hop les encantan las criptomonedas
