Descubierto por primera vez a principios de 2023, el código malicioso Akira parecía ser simplemente otra familia de ransomware que ingresó al mercado, pero su actividad continúa y sus numerosas víctimas son nuestros principales motivadores para investigar el funcionamiento interno del malware y permitir a los equipos de SecOps crear reglas defensivas adicionales, además de las ya implementadas.
Ahora, el Centro de Investigación Avanzada (ARC) de la empresa de ciberseguridad, Trellix, publica los resultados de su investigación sobre este nuevo código malicioso: la forma en que opera y cómo detectarlo.
El nombre del ransomware probablemente proviene de una película animada de 1988 con el mismo nombre, el grupo de rescate emula la estética ‘cyberpunk’ ambientado en “Neo-Tokio”, construida después de que Akira destruyera la ciudad original; lo hace para salvarlos de una masa de carne cada vez mayor. Los autores del ransomware basaron su nombre en la poderosa entidad de la película animada o en su comic relacionado.
Saber si un grupo favorece un determinado sector, una zona geográfica o actúa puramente en función de oportunidades es de gran beneficio para los equipos de SecOps. Permite a los equipos de inteligencia de amenazas comprender a sus adversarios potenciales y actuar en consecuencia. Los equipos de ingeniería de detección de amenazas y los centros de operaciones de seguridad pueden mejorar su detección basándose en tácticas, técnicas y procedimientos (TTP) conocidos. Cabe destacar que los TTP “conocidos” no necesariamente significan conocidos públicamente, sino más bien conocidos internamente bajo cualquiera de las opciones del protocolo de semáforo.
El abrumador número de víctimas en Estados Unidos hace que los números de cualquiera de los demás países sea bajo, eliminar a Estados Unidos del conjunto de datos proporciona una imagen más clara del resto de las víctimas.
Al trazar la frecuencia de las víctimas con datos de abril a octubre de este año, se muestran mayo, junio y agosto como los meses de mayor actividad para el blog. La fecha límite para los datos es el 20 de noviembre de 2023. Tenga en cuenta que el recuento de víctimas aquí es ligeramente mayor, ya que algunos de los blogs de Akira trataban sobre la misma empresa. Incluso en los meses “lentos”, el grupo todavía promedió aproximadamente 10 víctimas publicadas. Dado que se desconoce cuántas víctimas hay en total y cuántas de éstas pagan, el número publicado no es un indicador definitivo de producción total.
Hay que tener en cuenta que los grupos de ransomware suelen trabajar con afiliados, los cuales pueden trabajar para varias bandas de ransomware al mismo tiempo. Como tal, no existe un conjunto único de TTP que pueda definir cómo el ransomware Akira puede terminar en la red. En esta sección se utilizan múltiples fuentes para proporcionar una descripción general clara, las fuentes utilizadas son TrendMicro, SentinelOne, Sophos, DarkTrace y LogPoint, junto con comentarios y observaciones de Trellix. Tenga en cuenta que no todas las fuentes se utilizan en cada subsección.
Para obtener más información sobre los ataques de ransomware, Trellix sugiere consultar una descripción general de TTP comunes relacionados con los ataques de ransomware.
1. Acceso inicial
La posición inicial en el sistema se obtiene mediante varios métodos. La explotación de la autenticación multifactor (MFA) (es decir, CVE-2023-20269) se utiliza principalmente en campañas observadas, junto con vulnerabilidades conocidas en servicios públicos, como RDP. El Spear phishing también se utiliza para afianzarse, lo que generalmente es más eficaz que el simple phishing, ya que se dirige a un usuario (grupo) específico y/o a un tema relevante para el destinatario.
2. Escalada y movimiento lateral
Para escalar privilegios y/o moverse lateralmente, se utilizan volcados de LSASS. Además, o alternativamente, RDP se utiliza para conectarse a otras máquinas dentro de la red mientras se mueve lateralmente. Otras herramientas utilizadas son PCHunter64, LaZagne y Mimikatz.
3. Recopilación y exfiltración de datos
Una vez que los actores están en el sistema, el actor extrae los datos. De esta manera, la víctima puede ser extorsionada dos veces: una para recuperar archivos cifrados y otra para garantizar que los datos robados no estén disponibles públicamente en el blog de extorsión de Akira. Para cargar los archivos recopilados, se ha observado el uso de RClone, WinSCP y FileZilla.
4. Análisis técnico
El malware está escrito en C++ y utiliza bibliotecas benignas. Está compilado para Windows de 64 bits. La fecha de compilación de la muestra analizada es el 29 de julio de 2023 y se trata de una aplicación de consola. Los argumentos para una aplicación de este tipo generalmente se comparten a través de la línea de comandos y no requieren ningún tipo de interfaz gráfica. Akira admite una serie de argumentos que indican al malware que ejecute determinadas funciones.
Para encriptar los archivos en el dispositivo, el ransomware requiere un argumento de interfaz de línea de comandos para una ruta de archivo para comenzar o un archivo que contenga las rutas para comenzar. Sin ninguno de estos, la ejecución sólo dará como resultado la creación de subprocesos. Si se proporciona la referencia del archivo, pero la ruta no existe, se mostrará un error y el malware terminará solo.
Al principio, la cadena “.akira”, utilizada como extensión de archivo para archivos encriptados, se agregaba al nombre y extensión del archivo original. El malware excluye algunas extensiones de archivo junto con el nombre de archivo “akira_readme.txt” para evitar cifrar la nota de rescate que arroja.
Los archivos con cualquier otra extensión se encriptarán. A continuación, se descifra un comando de PowerShell y posteriormente se ejecuta. El comando se proporciona a continuación y se utiliza para eliminar las instantáneas en el dispositivo. Las instantáneas se utilizan para restaurar archivos y podrían usarse para restaurar archivos encriptados.
El comando se ejecuta con la ayuda de objetos COM para evitar ser detectado. El ID de proceso (PID) recién creado, se obtiene y se utiliza para verificar si la ejecución del comando fue exitosa. Para garantizar que las instantáneas se eliminen antes de continuar, el ransomware utilizará la ID del proceso obtenida previamente y esperará 15 segundos. Si no se puede obtener el ID del proceso, se supone que la eliminación ya ha finalizado y la ejecución del ransomware continuará sin esperar, de acuerdo con información del ARC de Trellix.
