Las principales agencias mundiales han señalado a un grupo de ransomware surgido recientemente llamado Akira, que se estima tiene solo un año de existencia, por sus intrusiones cibernéticas generalizadas, que han violado a más de 250 organizaciones en todo el mundo y han recaudado casi 42 millones de dólares en pagos de rescate.
Las investigaciones realizadas por la Oficina Federal de Investigaciones (FBI) de EE. UU. revelaron que Akira ha estado apuntando activamente a empresas e infraestructuras críticas en América del Norte, Europa y Australia desde marzo de 2023. Inicialmente centrado en los sistemas Windows, el panorama de amenazas de Akira se amplió con el descubrimiento de su variante Linux por el FBI.
Crisis del ransomware Akira
En respuesta a esta creciente amenaza, el FBI, la Agencia de Infraestructura y Seguridad Cibernética (CISA), el Centro Europeo de Delitos Cibernéticos (EC3) de Europol y el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC -NL) han emitido conjuntamente un Asesoramiento sobre seguridad cibernética (CSA) en un esfuerzo por crear conciencia y mitigar los riesgos que plantea Akira en el futuro.
“Las primeras versiones de la variante del ransomware Akira se escribieron en C++ y cifraron archivos con la extensión .akira; sin embargo, a partir de agosto de 2023, algunos ataques de Akira comenzaron a implementar Megazords, utilizando código basado en Rust que cifra archivos con la extensión .powerranges. Los actores de amenazas de Akira han seguido usando Megazord y Akira, incluido Akira_v2 (identificado por investigaciones de terceros confiables) de manera intercambiable”.
Akira recientemente atacó a Nissan Oceanía y a la Universidad de Stanford con ataques de ransomware. Nissan Oceania informó de una violación de datos que afectó a 100.000 personas en marzo, y la Universidad de Stanford reveló un problema de seguridad que afectó a 27.000 personas el mes pasado, ambos incidentes vinculados a Akira.
Se sabe que los actores de amenazas utilizan una táctica de doble extorsión: cifrar los sistemas después de tomar datos. La nota de rescate proporciona a cada empresa un código único y una URL .onion para contactarlos. No solicitan rescate ni detalles de pago en redes pirateadas; solo los comparten cuando la víctima los contacta.
Los pagos se realizan en Bitcoin a las direcciones proporcionadas. Según el comunicado oficial del FBI, estas entidades incluso amenazan con publicar datos robados en la red Tor y en ocasiones contactar con las empresas afectadas.
El resurgimiento del ransomware
El ransomware volvió a cobrar protagonismo en 2023, con pagos que superaron los mil millones de dólares, lo que supone un máximo histórico.
Las bolsas y mezcladores centralizados se han convertido en lugares privilegiados para lavar estos fondos ilícitos, dominando los canales de transacción. A pesar de ello, a lo largo del año han cobrado impulso nuevos servicios de reciclaje, como puentes e intercambiadores instantáneos.
La publicación Akira Ransomware: la alerta del FBI y Europol indica una pérdida de más de $ 42 millones apareció por primera vez en CryptoPotato .