Akira, un grupo de ransomware de un año de antigüedad, violó más de 250 organizaciones y extrajo aproximadamente $42 millones de dólares en ganancias de ransomware, alertaron las principales agencias mundiales de ciberseguridad.

Las investigaciones realizadas por la Oficina Federal de Investigaciones (FBI) de los Estados Unidos descubrieron que el ransomware de Akira se ha dirigido a empresas y entidades de infraestructura crítica en América del Norte, Europa y Australia desde marzo de 2023. Si bien el ransomware inicialmente se dirigía a los sistemas Windows, el FBI también encontró recientemente la variante Linux de Akira.

El FBI, junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL), publicaron un aviso conjunto de ciberseguridad (CSA) para «difundir» la amenaza a las masas.

Según el aviso, Akira obtiene acceso inicial a través de redes privadas virtuales (VPN) preinstaladas que carecen de autenticación multifactor (MFA). Luego, el ransomware procede a extraer credenciales y otra información confidencial antes de bloquear el sistema y mostrar una nota de rescate.

«Los actores de amenazas de Akira no dejan una demanda inicial de rescate o instrucciones de pago en las redes comprometidas, y no transmiten esta información hasta que la víctima se pone en contacto con ella».

El grupo de ransomware exige pagos en Bitcoin de las organizaciones víctimas para restablecer el acceso. Este tipo de malware a menudo desactiva el software de seguridad después del acceso inicial para evitar la detección.

Algunas de las técnicas de mitigación de amenazas recomendadas en el documento informativo son la implementación de un plan de recuperación y MFA, el filtrado del tráfico de red, la deshabilitación de puertos e hipervínculos no utilizados y el cifrado en todo el sistema.

«El FBI, CISA, EC3 y NCSC-NL recomiendan probar continuamente su programa de seguridad, a escala, en un entorno de producción para garantizar un rendimiento óptimo frente a las técnicas MITRE ATT&CK identificadas en este aviso», concluyeron las agencias.

El FBI, la CISA, el NCSC y la Agencia de Seguridad Nacional de Estados Unidos (NSA) emitieron previamente alertas sobre el malware que se estaba utilizando para atacar carteras e intercambios de criptomonedas.

El informe señaló que algunos de los datos extraídos por el malware incluían datos dentro de los directorios de las aplicaciones de intercambio Binance y Coinbase y la aplicación Trust Wallet. Según el informe, todos los archivos de los directorios enumerados se filtran independientemente del tipo.

Pagina Original:

Bitcoin ransomware Akira drains $42M from more than 250 companies: FBI