Ransomware Akira

El pasado mes de mayo fue descubierto un nuevo grupo Ransomware que se hace llamar Akira el cual hace sus primeras apariciones en marzo 2023 y desde entonces la lista de empresas que han comprometido sigue en aumento.
En el año 2017 fue descubierto un grupo similar que de igual manera se hace llamar Akira. Pero no existe evidencia que los relacione como el mismo grupo.
Como otros grupos Ransomware, Akira tienen un sitio web donde expone a las empresas que fueron comprometidas, novedades y el portal donde las victimas pueden accesar para establecer comunicación con los atacantes.

Cuando Akira se ejecuta esta borra del equipo el Windows Shadow Volume Copies y después ejecuta desde powershell el comando:
powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"

Después el Ransomware empezara a encriptar los archivos que contengan las siguientes extensiones:
.accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, . cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .dbwal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, . fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sd b, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .v vv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vd i, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vm cx

El Ransomware después de encriptar los archivos, añade la extensión .akira, este omite los archivos que están dentro de la papelería de reciclaje, en System Volume Information, Boot, Program Data y Windows folders y también omitirá los archivos con las extensiones: .exe, .lnk, .dll, .msi, and .sys
Akira también utiliza la API de Windows Restart Mananger para finalizar los procesos de manera abrupta para prevenir que un archivo este abierto e impida la encriptación.



La nota de rescate esta adjunta en cada carpeta del explorador de archivos, la nota contiene un enlace .onion que está dirigido al sitio web del grupo.

Cada víctima tiene un password único con el cual podrá accesar al portal desde el sitio Tor del grupo Ransomware. A diferencia de otros grupos Ransomware, el sitio web de Akira solo incluye un sistema de chat con el cual la víctima se puede poner en contacto con el grupo.



Recientemente fue descubierto que la operación Akira está apuntando a VMware ESXi. Esto fue encontrado por al investigadora de Malware rivitna, quien compartio un sample del nuevo encriptador con VirusTotal.
El nombre del encriptador es: 'Esxi_Build_Esxi' dando a entender que el objetivo es encriptar sistemas ESXi.
Si un atacante lograra comprometer a ESXi, se podría encriptar servidores y máquinas virtuales. Los atacantes podrían estar explotando vulnerabilidades recientes de VMware, que son críticas y que permiten la ejecución de código remoto y el ganar acceso privilegio para poder encriptar estos sistemas.

Indicadores de compromiso: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Recomendaciones:
• Existen ciertas precauciones que puede tomar para evitar que el ransomware infecte su dispositivo. Esté atento al instalar software gratuito y lea atentamente las ofertas adicionales del instalador.
• Los usuarios deben tener cuidado al abrir correos electrónicos de remitentes desconocidos o cualquier mensaje que parezca sospechoso o fuera de lo común. Si el remitente o la dirección no le son familiares, o el contenido no está relacionado con nada que esté esperando, es mejor no abrir el mensaje.
• Es muy poco probable que pueda ganar un premio en un concurso en el que no participó, así que tenga cuidado con los correos electrónicos que afirman que ganó algo. • Si el asunto del correo electrónico parece estar relacionado con algo que está anticipando, es importante examinar minuciosamente todos los aspectos del mensaje.
• Los estafadores a menudo cometen errores, por lo que analizar detenidamente el contenido del correo electrónico podría ayudarlo a identificar cualquier actividad fraudulenta. Recuerde, siempre es mejor pecar de precavido y evitar abrir correos electrónicos o cartas que parezcan sospechosas.
• También es crucial mantener actualizados todos los programas de software y seguridad para evitar vulnerabilidades que el ransomware puede explotar.
• El uso de programas descifrados o desconocidos es un riesgo importante para los ataques de ransomware basados en troyanos.
• Los ciberdelincuentes suelen distribuir troyanos disfrazados de software legítimo, como parches o comprobaciones de licencias. Sin embargo, es difícil diferenciar entre el software confiable y los troyanos maliciosos, ya que algunos troyanos pueden incluso tener la funcionalidad que buscan los usuarios.
• Antes de descargar cualquier programa, los usuarios deben investigarlo a fondo y leer reseñas de fuentes confiables.
• En última instancia, la mejor defensa contra los ataques de ransomware basados en troyanos es tener.

Referencias:
https://malware-guide.com/es/como-eliminar-akira-ransomware-y-recuperar-archivos-akira
https://www.bleepingcomputer.com/news/security/meet-akira-a-new-ransomware-operation-targeting-the-enterprise/















 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios