Un nuevo grupo de ransomware, llamado Akira, ha obtenido ilegalmente alrededor de $42 millones después de atacar más de 250 víctimas en todo el mundo hasta el 1 de enero de 2024. Esta operación ha afectado a una amplia variedad de empresas y entidades críticas en múltiples países, incluyendo Norteamérica, Europa y Australia.
El ransomware Akira utiliza diversas formas de ataques, tales como el uso de Protocolo de Escritorio Remoto (RDP), spear-phishing, credenciales válidas y servicios de red privada virtual (VPN) que carecen de protecciones de autenticación de múltiples factores (MFA). Además, este grupo también utiliza herramientas para establecer la persistencia, como la creación de una nueva cuenta de dominio en el sistema comprometido y raspado de credenciales.
El ransomware Akira cifra los sistemas objetivo utilizando un algoritmo de cifrado híbrido que combina Chacha20 y RSA. También tiene una función que le permite inhibir la recuperación del sistema eliminando copias de seguridad de sombra del sistema afectado. La divulgación de esta información se produce cuando Trend Micro reveló que la gran operación policial contra LockBit ha tenido un impacto significativo en la capacidad del grupo para recuperarse.
A pesar de esto, una nueva generación de actores de ransomware sigue energizando el panorama de amenazas, lo que permite a los actores de amenazas individuales de menor nivel generar importantes ganancias sin tener que ser parte de un grupo bien organizado. La mayoría de estas variedades de ransomware están disponibles por un único precio que comienza desde tan solo $20 por compilación única, lo que reduce aún más el costo de entrada al ransomware. Esta práctica ha sido descrita como un «fenómeno relativamente nuevo» que permite atacar a pequeñas empresas e individuos que son menos propensos a tener los recursos para defenderse o responder eficazmente a los incidentes, sin darle a nadie más una parte.
Vía The Hacker News