AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Akira intensifica ataques dirigidos a entornos Nutanix AHV: agencias estadounidenses alertan del riesgo

admin

Introducción

En las últimas semanas, varias agencias federales de Estados Unidos, incluyendo el CISA y el FBI, han emitido alertas dirigidas a profesionales de la ciberseguridad ante la creciente actividad del grupo de ransomware Akira. El foco de atención se sitúa en una nueva táctica: la infección y cifrado de máquinas virtuales que operan bajo Nutanix Acropolis Hypervisor (AHV), un entorno de virtualización ampliamente utilizado en infraestructuras empresariales y centros de datos. Esta amenaza subraya la capacidad de los actores de ransomware para adaptar sus vectores de ataque y explotar plataformas críticas, incrementando la superficie de riesgo para organizaciones de todos los sectores.

Contexto del Incidente o Vulnerabilidad

El grupo Akira, activo desde principios de 2023 y vinculado a numerosas campañas de doble extorsión, ha evolucionado rápidamente su arsenal. Originalmente centrado en sistemas Windows y VMware ESXi, ha incorporado recientemente a Nutanix AHV entre sus objetivos prioritarios, aprovechando la creciente adopción de esta solución de virtualización por empresas que buscan alternativas a VMware o requieren entornos hiperconvergentes.

Las agencias estadounidenses advierten que el cambio de foco hacia Nutanix AHV se produce en un momento en el que muchas organizaciones están migrando cargas críticas a este tipo de plataformas. Akira ha demostrado un profundo conocimiento de los mecanismos de gestión y acceso de Nutanix, lo que le permite evadir controles tradicionales y maximizar el impacto de sus ataques.

Detalles Técnicos

El ransomware Akira emplea técnicas sofisticadas para comprometer infraestructuras virtualizadas. Según el aviso emitido, los atacantes aprovechan accesos iniciales obtenidos mediante credenciales comprometidas (brute force, phishing o abuso de RDP/SSH expuestos), y posteriormente escalan privilegios internos. En el caso concreto de Nutanix AHV, Akira explota las API de gestión y herramientas nativas como Prism Central para identificar y cifrar volúmenes de máquinas virtuales (VMs).

No se ha asignado un CVE específico para una vulnerabilidad nueva en Nutanix; sin embargo, la explotación se basa en malas prácticas de seguridad, tales como la exposición de interfaces de administración y la falta de MFA. Se han detectado TTPs alineadas con las técnicas MITRE ATT&CK TA0001 (Initial Access), TA0003 (Persistence), TA0006 (Credential Access) y TA0040 (Impact), destacando el uso de herramientas como Mimikatz para la exfiltración de credenciales y la automatización del cifrado mediante scripts personalizados.

Indicadores de compromiso (IoCs) recogidos incluyen hashes de los binarios de Akira, conexiones sospechosas a puertos de Prism Central y logs de acceso anómalos en AHV. Además, se ha reportado el despliegue de Cobalt Strike y el uso de Metasploit para movimientos laterales y persistencia en entornos virtualizados.

Impacto y Riesgos

El impacto de estos ataques es especialmente crítico. Al comprometer Nutanix AHV, Akira puede cifrar decenas o cientos de máquinas virtuales de manera simultánea, paralizando operaciones empresariales esenciales. Se estima que, en incidentes recientes, los rescates demandados han oscilado entre 200.000 y 4 millones de dólares, con interrupciones operativas que superan las 72 horas en sectores como salud, educación y manufactura.

La doble extorsión es otro factor de riesgo: además del cifrado, Akira exfiltra información sensible para presionar a las víctimas, amenazando con filtrarla en la dark web en caso de no recibir el pago. El cumplimiento de normativas como el GDPR y la próxima NIS2 europea se ve directamente afectado, ya que una brecha en estos entornos puede desencadenar sanciones económicas y daños reputacionales.

Medidas de Mitigación y Recomendaciones

Las agencias recomiendan una serie de acciones inmediatas:

– Implementar autenticación multifactor (MFA) en todas las interfaces de administración de Nutanix AHV y Prism Central.
– Restringir el acceso externo mediante VPNs seguras y limitar la exposición de puertos críticos (SSH, RDP, APIs).
– Actualizar y parchear todos los sistemas, incluyendo hipervisores y herramientas de gestión.
– Monitorizar logs de acceso, conexiones y cambios en la configuración de VMs en busca de patrones anómalos.
– Realizar copias de seguridad regulares y almacenar al menos una versión offline y fuera del entorno principal.
– Desplegar EDRs y soluciones de detección de amenazas específicas para entornos virtualizados.
– Formar al personal en la identificación de campañas de phishing y amenazas de ingeniería social.

Opinión de Expertos

Varios analistas de ciberseguridad consultados destacan la importancia de no subestimar el riesgo de los entornos virtualizados. Según Pablo Fernández, CISO de una multinacional tecnológica: “El salto de Akira a Nutanix demuestra que los grupos de ransomware monitorizan el mercado y adaptan sus herramientas rápidamente. No basta con proteger los sistemas legacy, hay que blindar las plataformas modernas”.

Por su parte, Raúl López, pentester senior, advierte: “La exposición de interfaces de administración es la puerta de entrada más habitual. La segmentación de red y la detección proactiva de movimientos laterales son esenciales para evitar un impacto masivo”.

Implicaciones para Empresas y Usuarios

Para las empresas, este nuevo vector de ataque obliga a revisar de inmediato las políticas de seguridad en entornos Nutanix. Es imprescindible inventariar todas las interfaces expuestas, reforzar los controles de acceso y actualizar los planes de contingencia ante incidentes de ransomware. Los administradores de sistemas deben considerar la segregación de privilegios y la monitorización continua para detectar actividades sospechosas.

Los usuarios finales, aunque alejados de la gestión directa de estos entornos, pueden verse gravemente afectados por la paralización de servicios críticos, la filtración de datos personales o la pérdida de acceso a aplicaciones corporativas.

Conclusiones

La ofensiva de Akira contra Nutanix AHV marca un nuevo hito en la evolución de los ataques de ransomware. La virtualización, lejos de ser inmune, se convierte en un objetivo prioritario para grupos del cibercrimen. Ante este panorama, la vigilancia permanente, la actualización de controles y la formación específica de equipos técnicos son las mejores armas para mitigar el riesgo y proteger los activos más críticos de la organización.

(Fuente: www.bleepingcomputer.com)