Un reciente análisis de S-RM, una consultora global de ciberseguridad, ha arrojado luz sobre la creciente sofisticación del grupo de ransomware Akira.
El grupo, conocido por dirigirse a pequeñas y medianas empresas, ha adoptado una novedosa técnica de escalada de privilegios comúnmente asociada a los grupos de Amenazas Persistentes Avanzadas (APT).
Desde su aparición en marzo de 2023, el grupo de ransomware Akira ha atacado a pequeñas y medianas empresas de Norteamérica, Europa y Australia.
Conocido por infiltrarse en redes a través de credenciales VPN comprometidas o vulnerabilidades de software, Akira ha refinado sus Tácticas, Técnicas y Procedimientos (TTP) para infligir el máximo daño con una detección mínima.
A principios de 2024, el equipo de Respuesta a Incidentes de S-RM recibió una llamada para investigar una brecha en una multinacional agrícola. La brecha fue rastreada hasta un dispositivo VPN de factor único sin parchear.
Esta vulnerabilidad sirvió como punto de entrada para Akira, que explotó una vulnerabilidad de ejecución remota de código (RCE) (CVE-2021-21972) en VMware vCenter Server. Esto permitía a los atacantes implantar un shell inverso, concediendo acceso remoto al servidor.
Utilizando un archivo malicioso llamado ‘healthcheck_beat.jsp’, Akira estableció una conexión de shell inversa a través de la herramienta de línea de comandos NetCat.
Una vez dentro del vCenter, los atacantes crearon una nueva máquina virtual en un hipervisor VMware ESXi. Esta máquina virtual casi invisible les permitió operar sin ser detectados por las herramientas convencionales de detección y respuesta de puntos finales (EDR).
Aunque Akira obtuvo inicialmente privilegios de administrador local en la nueva máquina virtual, buscó acceso elevado para ampliar el control. Su método consistía en extraer el archivo NTDS.dit, la base de datos de Active Directory que almacena los datos de las cuentas de usuario y los hash de las contraseñas.
Al apagar temporalmente la máquina virtual del controlador de dominio, copiaron los archivos VMDK asociados y los colocaron en la nueva máquina virtual para acceder al archivo NTDS.dit y comprimirlo con 7-zip. Además, exfiltraron la colmena SYSTEM, que contiene la clave de descifrado para los hashes de las contraseñas.
Armado con estas credenciales, Akira navegó rápidamente por la red, comprometiendo cuentas adicionales, filtrando datos y desplegando el ransomware, todo ello en menos de seis horas.
Akira utilizó dos métodos principales para desplegar el ransomware: a través de recursos compartidos de red y servicios de copia de seguridad remota.
Aprovecharon el proceso legítimo ‘beremote.exe’ de Veritas Backup Exec Client para desplegar binarios de ransomware, eludiendo las defensas de seguridad mediante el aprovechamiento de una solución de copia de seguridad heredada todavía presente en el ecosistema de la organización.
La evolución de las tácticas de Akira subraya la necesidad de que las organizaciones se mantengan a la vanguardia en la actual carrera armamentística de la ciberseguridad.
Adoptando medidas de seguridad proactivas y manteniéndose informadas sobre las amenazas emergentes, las empresas pueden protegerse mejor contra la creciente oleada de ataques de ransomware.
Fuente original en inglés: https://securityonline.info/akira-ransomware-now-uses-apt-style-tactics-to-breach-corporate-networks/