El ransomware es una de las mayores amenazas a las que se enfrentan las empresas. Así lo confirmó también el BSI en su informe sobre la situación de la seguridad informática en Alemania en 2022.
Uno de los grupos de ransomware más famosos y notorios fue Conti. Esta organización criminal formó la base para otros actores de amenazas que se separaron del grupo de ransomware. Uno de estos grupos es el ransomware Akira.
¿Qué es Akira?
Akira es un grupo de ransomware relativamente nuevo y de rápido crecimiento, observado por primera vez en marzo de 2023, que utiliza el modelo de ransomware como servicio (RaaS). Los RaaS son servicios y herramientas relacionados con el ransomware que incluso los ciberdelincuentes relativamente inexpertos pueden utilizar para lograr "buenos" resultados. Al igual que otros grupos RaaS conocidos, Akira penetra en los sistemas de TI corporativos, extrae datos y encripta aplicaciones para pedir rescate.
Si no se paga el ransomware solicitado, el nombre y los detalles de la víctima se publicarán en la página de filtraciones de Akira. Según el sitio, la organización criminal ha comprometido al menos a 63 organizaciones desde su creación, y aproximadamente el 80 por ciento de las empresas víctimas son pequeñas y medianas empresas (PYME). Todo esto recuerda sospechosamente al notorio grupo de ransomware Conti. Por ejemplo, Akira ignora los mismos tipos de archivos y directorios que Conti Ransomware y tiene características similares. Además, la "nueva" estrella en el cielo del cibercrimen también utiliza el algoritmo ChaCha para cifrar archivos.
El análisis de blockchain descubre flujos de efectivo
"Al rastrear las transacciones descubiertas durante el análisis de blockchain, podemos asociar grupos individuales con mayor confianza en función de las transacciones hacia y desde direcciones de criptomonedas controladas por actores de amenazas conocidas", dijo Daniel Thanos, director de Arctic Wolf Labs. “El seguimiento de los pagos de rescate a Akira permitió a Arctic Wolf Labs identificar transacciones a direcciones asociadas a Conti.
La misma metodología analítica permitió a nuestro equipo identificar vínculos entre el grupo de ransomware Karakurt, Diavol y el grupo de ransomware Conti en 2022". Thanos también explica: "Estimamos que Akira es probablemente un grupo de ransomware oportunista dada su victimología y sus tácticas de negociación. En casi todos los casos investigados por Arctic Wolf, los actores de amenazas indicaron que necesitaban tiempo para revisar los datos extraídos y emitir una demanda de rescate”.
defensa y protección
Pero, ¿cómo pueden las empresas protegerse mejor contra los ataques del grupo de ransomware Akira, ya sea que estén aliados con Conti o no? En primer lugar, en caso de un ataque de ransomware, es importante actuar con prudencia e informar a las autoridades pertinentes de inmediato. Además, se debe analizar la situación y luego se deben iniciar las contramedidas necesarias. Si faltan los recursos internos adecuados en una situación tan excepcional, las empresas pueden recurrir a la ayuda profesional de proveedores de servicios de seguridad externos como Arctic Wolf, que tienen las habilidades, la mano de obra y las herramientas adecuadas para reaccionar adecuadamente y minimizar el daño en la medida de lo posible. como sea posible.
En 2023, aunque Conti se disolvió debido a la creciente presión, los conflictos internos y la publicación del código fuente, muchos de los miembros de Conti continúan causando estragos en las empresas a través de sus actividades con otros grupos RaaS, incluido Akira. Akira continúa evolucionando y creciendo como grupo de ransomware al cambiar sus tácticas para evadir la detección. Los procesos de seguridad probados, como habilitar MFA en dispositivos VPN, pueden reducir significativamente la probabilidad de un compromiso exitoso de Akira, al igual que los parches y actualizaciones regulares del sistema como parte de una estrategia integral de ciberseguridad.
Más en ArcticWolf.com
Acerca del lobo ártico Arctic Wolf es líder mundial en operaciones de seguridad y proporciona la primera plataforma de operaciones de seguridad nativa de la nube para mitigar el riesgo cibernético. Sobre la base de la telemetría de amenazas que abarca el punto final, la red y las fuentes de la nube, Arctic Wolf® Security Operations Cloud analiza más de 1,6 billones de eventos de seguridad por semana en todo el mundo. Proporciona información crítica para la empresa sobre casi todos los casos de uso de seguridad y optimiza las soluciones de seguridad heterogéneas de los clientes. La plataforma Arctic Wolf es utilizada por más de 2.000 clientes en todo el mundo. Proporciona detección y respuesta automatizadas a amenazas, lo que permite a las organizaciones de todos los tamaños configurar operaciones de seguridad de clase mundial con solo tocar un botón.
Artículos relacionados con el tema