Akira Ransomware Actualización

Publicado hace 2 meses 17-04-2026

Akira es una operación de ransomware como servicio asociada a múltiples grupos, tales como: Storm-1567, Punk Spider, Gold Sahara y Howling Scorpius. Los principales objetivos de Akira son pequeñas y medianas empresas, con unos cuantos objetivos grandes a través de diversos sectores, con una notable preferencia inicial por instituciones educativas, manufactura, sector salud, servicios financieros y sector de alimentos y agricultura. El grupo ha impactado organizaciones a nivel mundial, principalmente en Norteamérica, Europa y Australia, así como una variedad de sistemas Linux, Nutanix, VMware, Hyper-V y Windows.

Las primeras versiones de Akira estaban escritas en C++ y encriptaban archivos a los que luego agregaban la extensión “.akira”, sin embargo, en 2023 se detectó el uso de otra herramienta conocida como Megazord, escrita en Rust, para encriptar la información con una nueva extensión en sistemas Windows ”.powerranges”. Tiempo después se Akira fue actualizado a su versión 2 y reescrito en Rust, con una nueva extensión “.akiranew”. En la actualidad, los grupos asociados a Akira utilizan ambas herramientas actualizadas (Megazord y Akira_v2) para encriptación de forma intercalada.

Los actores de amenaza relacionados a Akira explotan vulnerabilidades conocidas, destacando aquellas asociadas a productos de VPN y dispositivos de frontera, tales como los dispositivos SonicWall y Cisco, para obtener acceso inicial; o utilizando credenciales filtradas y obtenidas a través de ataques fuerza bruta.

Aunque el sector educativo estuvo entre las principales víctimas de Akira, recientemente se ha visto una preferencia por ataques al sector de manufactura, una tendencia que se ha visto en todos los grupos de ransomware.
A finales de 2025 se estimó que Akira había reclamado cerca de $244.17 millones de dólares estadounidenses (USD) provenientes de ataques de ransomware.

Taxonomía

Tactic ID Name
Initial Access T1190 Exploit Public-Facing Applications
T1566.001 Phishing: Spearphishing Attachment
T1566.002 Phishing: Spearphishing Link
T1133 External Remote Services
Execution T1059.001 Command and Scripting Interpreter: PowerShell
T1059.003 Command and Scripting Interpreter: Windows Command Shell
T1059.005 Command and Scripting Interpreter: Visual Basic
T1569.002 System Services: Service Execution
Persistence T1098 Account Manipulation
T1136.001 Create Account: Local Account
T1136.002 Create Account: Domain Account
T1219 Remote Access Software
Privilege Escalation T1068 Exploitation for Privilege Escalation
Defense Evasion T1027 Obfuscated Files or Information
T1027.015 Obfuscated Files or Information: Compression
T1036 Masquerading
T1222.001 File and Directory Permissions Modification: Windows
T1562 Impair Defenses
T1562.001 Impair Defenses: Disable or Modify Tools
T1562.004 Impair Defenses: Disable or Modify System Firewall
Credential Access T1003 OS Credential Dumping
T1003.001 OS Credential Dumping: LSASS Memory
T1003.002 OS Credential Dumping: Security Account Manager
T1003.003 OS Credential Dumping: NTDS
T1110 Brute Force
T1110.003 Brute Force: Password Spraying
T1550.002 Use Alternate Authentication Material: Pass the Hash
T1555 Credentials from Password Stores
T1555.003 Credentials from Web Browsers
T1555.004 Credentials from Password Stores: Windows Credential Manager
Discovery T1016 System Network Configuration Discovery
T1018 Remote System Discovery
T1046 Network Service Discovery
T1057 Process Discovery
T1069.001 Permission Groups Discovery: Local Groups
T1069.002 Permission Groups Discovery: Domain Groups
T1082 System Information Discovery
T1083 File and Directory Discovery
T1087.002 Account Discovery: Domain Account
T1124 System Time Discovery
T1482 Domain Trust Discovery
Lateral Movement T1021 Remote Services
T1021.001 Remote Services: RDP
T1021.004 Remote Services: SSH
Command and Control T1090 Proxy
T1105 Ingress Tool Transfer
T1572 Protocol Tunneling
T1604 Proxy Through Victim
Exfiltration T1048 Exfiltration Over Alternative Protocol
T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage
T1537 Transfer Data to Cloud Account
Impact T1486 Data Encrypted for Impact
T1490 Inhibit System Recovery
T1491 Defacement
T1657 Financial Theft



Indicadores de compromiso
IOC Tipo
3298d203c2acb68c474e5fdad8379181890b4403d6491c523c13730129be3f75 SHA256
0ee1d284ed663073872012c7bde7fac5ca1121403f1a5d2d5411317df282796c SHA256
dfe6fddc67bdc93b9947430b966da2877fda094edf3e21e6f0ba98a84bc53198 SHA256
131da83b521f610819141d5c740313ce46578374abb22ef504a7593955a65f07 SHA256
9f393516edf6b8e011df6ee991758480c5b99a0efbfd68347786061f0e04426c SHA256
9585af44c3ff8fd921c713680b0c2b3bbc9d56add848ed62164f7c9b9f23d065 SHA256
2f629395fdfa11e713ea8bf11d40f6f240acf2f5fcf9a2ac50b6f7fbc7521c83 SHA256
7f731cc11f8e4d249142e99a44b9da7a48505ce32c4ee4881041beeddb3760be SHA256
95477703e789e6182096a09bc98853e0a70b680a4f19fa2bf86cbb9280e8ec5a SHA256
0c0e0f9b09b80d87ebc88e2870907b6cacb4cd7703584baf8f2be1fd9438696d SHA256
C9c94ac5e1991a7db42c7973e328fceeb6f163d9f644031bdfd4123c7b3898b0 SHA256
aaa6041912a6ba3cf167ecdb90a434a62feaf08639c59705847706b9f492015d SHA256
18051333e658c4816ff3576a2e9d97fe2a1196ac0ea5ed9ba386c46defafdb88 SHA256
 5e1e3bf6999126ae4aa52146280fdb913912632e8bac4f54e98c58821a307d32 SHA256
58359209e215a9fc0dafd14039121398559790dba9aa2398c457348ee1cb8a4d SHA256
58afef43cec0ee7a2fbfd9cdd5b71f55f971672d5e523a400b82b98c752ca5b7 SHA256
0b5b31af5956158bfbd14f6cbf4f1bca23c5d16a40dbf3758f3289146c565f43 SHA256
0d700ca5f6cc093de4abba9410480ee7a8870d5e8fe86c9ce103eec3872f225f SHA256
a2df5477cf924bd41241a3326060cc2f913aff2379858b148ddec455e4da67bc SHA256
03aa12ac2884251aa24bf0ccd854047de403591a8537e6aba19e822807e06a45 SHA256
2e88e55cc8ee364bf90e7a51671366efb3dac3e9468005b044164ba0f1624422 SHA256
40221e1c2e0c09bc6104548ee847b6ec790413d6ece06ad675fff87e5b8dc1d5 SHA256
5ea65e2bb9d245913ad69ce90e3bd9647eb16d992301145372565486c77568a2 SHA256
643061ac0b51f8c77f2ed202dc91afb9879f796ddd974489209d45f84f644562 SHA256
6f9d50bab16b2532f4683eeb76bd25449d83bdd6c85bf0b05f716a4b49584f84 SHA256
fef09b0aa37cbdb6a8f60a6bd8b473a7e5bffdc7fd2e952444f781574abccf64 SHA256
e1321a4b2b104f31aceaf4b19c5559e40ba35b73a754d3ae13d8e90c53146c0f SHA256
74f497088b49b745e6377b32ed5d9dfaef3c84c7c0bb50fabf30363ad2e0bfb1 SHA256
3d2b58ef6df743ce58669d7387ff94740ceb0122c4fc1c4ffd81af00e72e60a4 SHA256
5961a99181df157b81d35a50eeb27f96577a2fa2 SHA1
ef328f68c6d865ba4ef4223b5d8ee9efb5667420 SHA1

 

Recomendaciones

  • Implementar un sistema de seguridad de múltiples capas.
  • Educar a los empleados de la organización para que identifiquen y sepan evadir intentos de phishing.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto (NIST CSF, 2024).
  • Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad (NIST CSF, 2024).
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Akira. (2025, septiembre 17). SentinelOne. Recuperado el 16 de abril de 2026, en: https://www.sentinelone.com/anthology/akira/
  2. Brown, J. (2025, enero 23). Akira Ransomware: A Shifting Force in the RaaS Domain. Bitdefender Blog. Recuperado el 16 de abril de 2026, en: https://www.bitdefender.com/en-us/blog/businessinsights/akira-ransomware-a-shifting-force-in-the-raas-domain
  3. Moody, R. (2025, diciembre 11). Akira ransomware: Stats on attacks, ransoms & data breaches. Comparitech. Recuperado el 16 de abril de 2026, en: https://www.comparitech.com/news/akira-ransomware-stats-on-attacks-ransoms-data-breaches/
  4. Özeren Hacıoğlu, S. (2026, febrero 20). Akira Ransomware 2025: Updated CISA Advisory, TTPs, and Defense Strategies. Picus Security. Recuperado el 16 de abril de 2026, en: https://www.picussecurity.com/resource/blog/akira-ransomware-analysis-simulation-and-mitigation-cisa-alert-aa24-109a
  5. #StopRansomware: Akira Ransomware. (2025, noviembre 13). CISA. Recuperado el 16 de abril de 2026, en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más