Akira Ransomware

Publicado hace 10 meses 31-10-2023

El pasado mes de mayo fue descubierto un nuevo grupo Ransomware que se hace llamar Akira el cual hace sus primeras apariciones en marzo 2023 y desde entonces la lista de empresas que han comprometido sigue en aumento.

En el año 2017 fue descubierto un grupo similar que de igual manera se hace llamar Akira. Pero no existe evidencia que los relacione como el mismo grupo.

Como otros grupos Ransomware, Akira tienen un sitio web donde expone a las empresas que fueron comprometidas, novedades y el portal donde las victimas pueden accesar para establecer comunicación con los atacantes.

Sitio web de Akira Ransomware
Cuando Akira se ejecuta esta borra del equipo el Windows Shadow Volume Copies y después ejecuta desde powershell el comando: powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
Después el Ransomware empezara a encriptar los archivos que contengan las siguientes extensiones: accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .dbwal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic,  .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcx

El Ransomware después de encriptar los archivos, añade la extensión .akira, este omite los archivos que están dentro de la papelería de reciclaje, en System Volume Information, Boot, Program Data y Windows folders y también omitirá los archivos con las extensiones: .exe, .lnk, .dll, .msi, y .sys

Akira también utiliza la API de Windows Restart Mananger para finalizar los procesos de manera abrupta para prevenir que un archivo este abierto e impida la encriptación.


La nota de rescate esta adjunta en cada carpeta del explorador de archivos, la nota contiene un enlace .onion que está dirigido al sitio web del grupo.
Cada víctima tiene un password único con el cual podrá accesar al portal desde el sitio Tor del grupo Ransomware. A diferencia de otros grupos Ransomware, el sitio web de Akira solo incluye un sistema de chat con el cual la víctima se puede poner en contacto con el grupo.

Recomendaciones

  • Existen ciertas precauciones que puede tomar para evitar que el ransomware infecte su dispositivo. Esté atento al instalar software gratuito y lea atentamente las ofertas adicionales del instalador
  • Los usuarios deben tener cuidado al abrir correos electrónicos de remitentes desconocidos o cualquier mensaje que parezca sospechoso o fuera de lo común. Si el remitente o la dirección no le son familiares, o el contenido no está relacionado con nada que esté esperando, es mejor no abrir el mensaje. 
  • Es muy poco probable que pueda ganar un premio en un concurso en el que no participó, así que tenga cuidado con los correos electrónicos que afirman que ganó algo. 
  • Si el asunto del correo electrónico parece estar relacionado con algo que está anticipando, es importante examinar minuciosamente todos los aspectos del mensaje. 
  • Los estafadores a menudo cometen errores, por lo que analizar detenidamente el contenido del correo electrónico podría ayudarlo a identificar cualquier actividad fraudulenta. Recuerde, siempre es mejor pecar de precavido y evitar abrir correos electrónicos o cartas que parezcan sospechosas. 
  • También es crucial mantener actualizados todos los programas de software y seguridad para evitar vulnerabilidades que el ransomware puede explotar. 
  • El uso de programas descifrados o desconocidos es un riesgo importante para los ataques de ransomware basados en troyanos. 
  • Los ciberdelincuentes suelen distribuir troyanos disfrazados de software legítimo, como parches o comprobaciones de licencias. Sin embargo, es difícil diferenciar entre el software confiable y los troyanos maliciosos, ya que algunos troyanos pueden incluso tener la funcionalidad que buscan los usuarios. 
  • Antes de descargar cualquier programa, los usuarios deben investigarlo a fondo y leer reseñas de fuentes confiables. 
  •  
Indicadores de compromiso
  • b3f473b0fd752fcd8b0d5983366c4ccccdacdceb8d6ba25fcb02b34c622cca78
  • 7613fbb940f83173aea126da5cf4319943155f4df25fd2e880eb0c03b1e273f0
  • cfbcea795524c69a6d28fd9e60e07437d8f2abd23812109430ca2efd46606310
  • 1d3b5c650533d13c81e325972a912e3ff8776e36e18bca966dae50735f8ab296
  • 337d21f964091417f22f35aee35e31d94fc3f35179c36c0304eef6e4ae983292
  • 9ca333b2e88ab35f608e447b0e3b821a6e04c4b0c76545177890fb16adcab163
  • 6cadab96185dbe6f3a7b95cf2f97d6ac395785607baa6ed7bf363deeb59cc360
  • 67afa125bf8812cd943abed2ed56ed6e07853600ad609b40bdf9ad4141e612b4
  • 3c92bfc71004340ebc00146ced294bc94f49f6a5e212016ac05e7d10fcb3312c
  • 7b295a10d54c870d59fab3a83a8b983282f6250a0be9df581334eb93d53f3488
  • 6cadab96185dbe6f3a7b95cf2f97d6ac395785607baa6ed7bf363deeb59cc360
  • d0510e1d89640c9650782e882fe3b9afba00303b126ec38fdc5f1c1484341959
  • 4839fd081e720d7d5091274470679c120378196e1f4faf80c4bac08d8ee7bb8c
  • 2b28270c1675990a2c78b31faab547fb75948dd1c2b22e892377ee5e40abebc2
  • 920384692233578a59fc8de2b0205fd9fb20bb0d75c1d5a1534377abf0fc08bc
  • 1b6af2fbbc636180dd7bae825486ccc45e42aefbb304d5f83fafca4d637c13cc
  • 678ec8734367c7547794a604cc65e74a0f42320d85a6dce20c214e3b4536bb33
  • 8631ac37f605daacf47095955837ec5abbd5e98c540ffd58bb9bf873b1685a50
  • f41340cb2171fcc6e7d15259749a2bb9abf110f2e0b6c604019758d11875a10a

Referencias

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

PoolParty Injection
Publicado hace 9 meses 12-12-2023

La nueva técnica de inyección de procesos llamada "PoolParty", presentada por primera vez en la Black Hat Europe 2023, descubierta por investigadores de SafeBreach y analizada a fondo por Alon Leviev, consiste en un conjunto de ocho técnic......

Medusa Ransomware
Publicado hace 9 meses 11-12-2023

¿Cómo Trabaja? Obtiene un acceso privilegiado a los sistemas a través de protocolos de escritorio remoto (RDP) vulnerables y campañas de phishing engañosas. Una vez que infringe un sistema, Medusa emplea PowerShell para la ejecuci&oac......

8Base Ransomware
Publicado hace 9 meses 06-12-2023

A principios de mayo del 2023, el grupo 8base como parte de su modelo de extorsión incluía un blog en TOR donde publican las empresas que han sido víctimas de su ransomware, este blog se encuentra disponible publicamente en la darkweb. Cabe destacar que, aunq......

BOLETINES RECIENTES

...
PoolParty Injection
Publicado hace 9 meses 12-12-2023
Leer más
...
Medusa Ransomware
Publicado hace 9 meses 11-12-2023
Leer más
...
8Base Ransomware
Publicado hace 9 meses 06-12-2023
Leer más