IPGR Investigación 3 - Ransomware Akira

https://is1-ssl.mzstatic.com/image/thumb/Podcasts221/v4/9a/05/4a/9a054a85-5852-86cf-483a-ed14411d5d2d/mza_3811610359591409927.jpeg/600x600bb.jpg

blue team sin morir en el intento

Jose Rojas

33 episodes

2 weeks ago

Este es un espacio dedicado al Blue Team, donde exploraremos estrategias, experiencias, métodos e iniciativas para fortalecer tu postura de seguridad y ampliar tu conocimiento en el tema. Disfruta de entrevistas, consejos y recomendaciones de expertos.

Hosted on Acast. See acast.com/privacy for more information.

All content for blue team sin morir en el intento is the property of Jose Rojas and is served directly from their servers with no modification, redirects, or rehosting. The podcast is not affiliated with or endorsed by Podjoint in any way.

Hosted on Acast. See acast.com/privacy for more information.

IPGR Investigación 3 - Ransomware Akira

blue team sin morir en el intento

1 hour 27 minutes 33 seconds

7 months ago

IPGR Investigación 3 - Ransomware Akira

Investigación Profunda de Grupos de Ransomware

Investigación 3 - Ransomware Akira

1. Identificación y Origen

Akira es un ransomware operado bajo el modelo Ransomware-as-a-Service (RaaS) y utiliza doble extorsión: roba y cifra datos, amenazando con publicarlos si no se paga el rescate. Su origen se sospecha en Rusia o países exsoviéticos, pero ataca principalmente en EE.UU., Reino Unido y Canadá.

2. Perfil y Evolución

Activo desde marzo de 2023, ha atacado cientos de organizaciones en Norteamérica, Europa y Australia. Comenzó en Windows y luego se expandió a Linux y VMware ESXi. Algunas variantes incluyen Akira_v2 y Megazord, con código heredado de Conti.

3. Metodología de Ataque

Acceso inicial: Explota vulnerabilidades en Cisco y Fortinet, phishing y credenciales robadas.
Persistencia: Crea cuentas y usa herramientas como Mimikatz para volcar credenciales.
Evasión: Desactiva antivirus/EDR y usa la red Tor para la exfiltración de datos.
Cifrado: Utiliza ChaCha20 y RSA, además de eliminar copias de seguridad (VSS).

4. Modelo Financiero

Akira opera en un modelo de afiliados (RaaS), con comisiones del 20-30%. Se han negociado rescates por $4.8 millones en Bitcoin.

5. Victimología

Ha afectado a diversos sectores, especialmente en Francia y Norteamérica. En 2025, registró 222 víctimas, con un pico de 73 ataques en noviembre de 2024. Fue responsable del 21% de los ataques de ransomware en el primer trimestre de 2024.

6. Recomendaciones

Respaldos segmentados y seguros.
Autenticación multifactor y actualizaciones constantes.
Segmentación de red y monitoreo de tráfico.
Auditoría de cuentas administrativas y restricción de accesos.

7. Incidente Destacado

El 05/03/2025, Akira usó una cámara web vulnerable para eludir un EDR, demostrando la necesidad de supervisar dispositivos IoT. También se detallan comandos utilizados para persistencia, robo de credenciales y eliminación de respaldos.

Fuente:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a

https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/grupo-de-ransomware-akira-elude-edr-por-medio-de-una-camara-web

https://unit42.paloaltonetworks.com/threat-assessment-howling-scorpius-akira-ransomware/

https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira

https://www.ciberseguridad.eus/sites/default/files/2023-08/BCSC-Malware-Akira-TLPClear_v2.pdf

https://blogs.blackberry.com/en/2024/07/akira-ransomware-targets-the-latam-airline-industry

https://www.europapress.es/portaltic/ciberseguridad/noticia-rompe-cifrado-ransomware-akira-10-horas-usando-16-gpu-nube-20250320113728.html

Redes Sociales:

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo:

https://buymeacoffee.com/btsmi

Hosted on Acast. See acast.com/privacy for more information.